1 of 500 DOCUMENTS
La Tribune Hebdomadaire
15 février 2018
Nos DONNÉES ne sont PAS DONNÉES
AUTEUR: BOYER DIRECTEUR DE L'INNOVATION, FONCIÈRE DES RÉGIONS
RUBRIQUE: ACTUALITÉS; Pg. 25
LONGUEUR: 883 mots
La carte d'identité digitale d'un individu regroupe l'ensemble de ses données personnelles. L'enjeu des prochaines années consistera à reprendre le contrôle de cette masse d'informations encore trop souvent abandonnées à des tiers.
À l'échelle d'Internet, c'est un phénomène qui date de moins d'une dizaine d'années. Il a fallu la prise de conscience du poids croissant des Gafa (Google, Facebook, Apple, Amazon) pour comprendre que, au-delà de nous faciliter la vie en répondant à toutes nos questions, ces sociétés ont développé leur modèle d'affaire sur la collecte et l'analyse des données personnelles de leurs utilisateurs.
Aujourd'hui, la question de la gestion et de la propriété de ces données prend une ampleur toute particulière alors que les États et les citoyens entendent reprendre en main leur destin numérique. Rien qu'en France, en 2014, le Conseil d'État s'interrogeait déjà sur cette question en rappelant que " face aux limites actuelles de la protection des données à caractère personnel il est parfois proposé de donner aux individus un véritable droit de propriété sur leurs données " et qu'" en l'état du droit il n'existe pas de droit de propriété de l'individu sur ses données personnelles. " Sur le plan légal, la réflexion sur cette question a pris un tour particulier avec l'adoption au niveau européen du Règlement général sur la protection des données (RGPD). À son entrée en vigueur, au mois de mai prochain, le citoyen consommateur devra exprimer son consentement, de manière explicite, sur la façon dont les marques collectent ses informations, ce qu'elles en font et comment, le cas échéant, les récupérer dans leur intégralité. Une petite révolution qui va obliger des millions d'entreprises à revoir la conception de leurs supports numériques pour être plus transparentes.
Ce texte fondateur est la preuve, s'il en est, que les données fournies gratuitement par les utilisateurs sont le nouvel " or noir " de l'économie numérique. Que les fins soient commerciales, ou " communautaires " (les réseaux sociaux sont à la croisée de ces deux mondes), la data se trouve toujours au centre de cette économie qui cherche à monétiser les très précieuses informations personnelles.
C'est en partant du constat que ces données ont une indéniable valeur que de nouvelles propositions voient le jour. Elles s'appuient sur l'idée évidente qu'il nous faut conserver la maîtrise et la propriété de nos données digitales en exerçant un véritable droit de propriété sur ce capital immatériel. Tout comme chacun exerce son libre arbitre couplé à un droit de propriété réel quand il s'agit de donner un organe, de vendre une création artistique ou encore de transmettre un patrimoine matériel, les données personnelles doivent, elles aussi, pleinement profiter à celui qui en est " l'auteur ", contrairement à ce qui se passe aujourd'hui, où elles sont une matière première dans des mines à ciel ouvert, que les destinataires peuvent capter sans d'autre forme de compensation que celle du service fourni à l'utilisateur ou au client, selon que la prestation est gratuite ou pas.
LA " BLOCKCHAIN " POUR PROTÉGER NOS DATA
Il faut saluer l'initiative du think tank Génération libre, fondé par Gaspard Koenig, qui, dans un rapport récemment publié, " Mes data sont à moi ", ne propose rien moins que d'instaurer une patrimonialité des données, rémunérée, comme on le fait pour n'importe quel autre bien. Dans cette logique, et après consentement de leur propriétaire, les données pourraient s'échanger sur un nouveau marché organisé selon la loi de l'offre et de la demande et offrant à ce titre une rétribution à ceux qui génèrent ces données.
Séduisante au premier abord, ne serait-ce que pour rééquilibrer un rapport de force aujourd'hui très inégal, cette idée risque de ne pas être simple à mettre en oeuvre. Comment prouver que les données échangées sont bien celles du propriétaire déclaré ? À cela, le think tank répond que des solutions technologiques aujourd'hui disponibles pourraient venir en renfort, notamment la cryptologie blockchain.
Flairant que cette question de la maîtrise des données personnelles et de leur valeur sur un marché encore à construire sera peut-être demain un formidable axe commercial, des startups commencent à apparaître. Citons la française Dawex ou encore l'allemande Wysker, qui proposent des places de marché où les propriétaires de données peuvent les monétiser auprès de clients demandeurs.
Pour faire un pas plus loin, pourquoi ne pas envisager que ces nouvelles formes de contractualisation du marché des données puissent également abonder un fonds, sorte de taxation indirecte des Gafa, alors que l'actualité de ces derniers mois a montré combien il s'avérait difficile d'établir et de faire respecter des règles de paiement à l'impôt pour ces géants du Net ?
Face au constat que nos données personnelles possèdent une indéniable valeur et que l'on ne peut plus se contenter de les abandonner sans mieux en encadrer l'usage, autrement dit ne plus se contenter de cocher la case " J'accepte ", de nouvelles initiatives se multiplient. Comme l'écrit Génération Libre, celles-ci visent à " inscrire ce droit de propriété dans la suite logique du Règlement général sur la protection des données personnelles. Une opportunité pour l'Europe d'innover... "
DATE-CHARGEMENT: February 14, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: DR
Les données fournies gratuitement par les utiliateurs sont le nouvel " or noir " de l'économie numérique.
iStock
TYPE-PUBLICATION: Magazine
Copyright 2018 La Tribune
Tous droits réservés
2 of 500 DOCUMENTS
Stratégies
15 février 2018
Edition 1;
National Edition
Les sujets chauds de la data;
Dans ce marché en pleine explosion, il existe des spécialistes 100% data. C'est le cas d'Arnaud Contival, PDG de l'agence data marketing AID - Add Intelligence to Data. Interview.
RUBRIQUE: PUBLI INFORMATION; Pg. 39
LONGUEUR: 619 mots
Arnaud Contival, PDG, AID Add Intelligence to Data AID est un acteur majeur de la data en France, qu'estce qui vous différencie des autres agences data ? Chez AID, notre ADN depuis 45 ans, c'est la data. Avec une centaine de collaborateurs à Paris Lille Lyon et Rennes, nous accompagnons surtout des grands comptes dans toutes leurs problématiques en oeuvre, en passant par l'hébergement des bases et des datalakes. Nos clients sont des Directeurs Marketing/CRM, Chief Data Officer, responsables connaissance client ou directions digitales.
Nous accomplissons des missions data chez nos clients et des projets sur notre cloud privé. Nous sommes au top de la sécurité pour le service Bloctel que le gouvernement nous a délégué avec 3 partenaires. Nous gérons aussi des données et des référentiels clients uniques, par exemple pour le groupe Mobivia avec 45millions de clients sur 12 pays.
Ce qui nous différencie encore plus, c'est d'être éditeur d'une solution d'analyse du parcours client (Customer Journey Analytics) : datakili®, solution d'analyse des interactions clients omnicanal pour les marketeurs.
Pouvez-vous nous décrire les sujets chauds sur la data chez vos clients ? Le premier sujet chaud est le RGPD et la future directive e-Privacy. Les entreprises ont compris que la data était un actif stratégique. Mieux que l'or noir, c'est à la fois une énergie renouvelable et durable irrigant tous les métiers de l'entreprise. Nous accompagnons sur ce thÈme nos clients, qui ont bien conscience des contraintes de collecte et d'utilisation transparente des données.
Le deuxiÈme sujet est l'évolution de la datascience. Certains clients ont créé des datalabs pour générer de la valeur à partir de nouvelles sources de data : tracking web et mobile, IoT, Open Data, photos, social... Nos clients peinent à recruter des datascientists à la fois analytiques, Big Data et Devops. Nous leur fournis- spécialisés, et pour cela il faut leur offrir des missions variées et de la formation continue sur des sujets pointus. Nos datascientists aident les équipes des clients à monter en compétence sur les sujets data : modélisation, Big Data, Deep Learning, R, Python, Spark ML, séries temporelles...
Le troisiÈme sujet est l'IA. On est sur de l'automatisation de processus d'aide à la décision, de l'optimisation grâce à des méthodes d'apprentissage supervisé (Machine Learning et Deep Learning) et de l'analyse du langage. Les applications sont à ce stade : la détection d'éléments dans des photos, la prévision de volumes (appels, ventes...), les chatbots.
Comment voyez vous évoluer votre métier ? Les clients demandent de plus en plus à nos datascientists de leur développer des outils souvent spécifiques comme la recommandation d'assortiments de produits, l'émission d'offres personnalisées, la qualimétrie dans un datalake, la datavisualisation avancée de parcours web, ...
Parmi les sujets phares, le parcours clients traite en général uniquement de personae et de digitalisation des process. Or, avec les bons outils, les parcours devraient révéler l'intégralité de l'activité omnicanal des clients. Nous le faisons avec datakili®, solution de datavisualisation des parcours qui inclut des algorithmes de datascience et IA et fournit automatiquement des informations stratégiques : visualisation interactive des parcours réels, détection des moments clés, parcours gagnants, prédiction de parcours à risque, ...
Parmi les bénéfices clients : 1/ une appropriation accélérée des données par le marketing 2/ des données désilotées entre les canaux 3/ un accélérateur de ROI : pour un assureur, 800% de ROI sur un seul use case et plusieurs centaines de milliers d'euros d'économie à la clé, avec encore un énorme potentiel !
DATE-CHARGEMENT: February 15, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
3 of 500 DOCUMENTS
Stratégies
15 février 2018
Edition 1;
National Edition
LA VOITURE, NOUVEL ESPACE DE PUB À CONQUÉRIR;
AUTOMOBILEAprÈs la radio et le smartphone, devenu le premier écran en voiture, la publicité réfléchit à d'autres canaux : assistants vocaux, écrans connectés... et pourquoi pas des trajets sponsorisés, lorsque la plupart des voitures seront autonomes.
AUTEUR: THOMAS PONTIROLI; DELPHINE SOULAS-GESSON
RUBRIQUE: L'ÉVÉNEMENT ENQUÊTE; Pg. 8,9,10
LONGUEUR: 1491 mots
Audi l'appelle « la 25e heure ». C'est celle que les automobilistes passent en moyenne chaque jour au volant, à se concentrer sur la route. En rendant leurs voitures autonomes, les constructeurs promettent de « libérer » ce moment. Ils ouvriront alors - quand la technologie et la réglementation seront alignées - « un nouvel espace-temps », selon Meryem Amri. La directrice de l'innovation et de la prospective de l'Union des annonceurs (UDA) ne cache pas son enthousiasme à l'idée de voir un nouveau gisement d'attention, « ce qui n'était pas arrivé depuis le mobile ». Les marques et les agences se frottent les mains, projetant déjà leurs fantasmes. Illustration chez Havas Media, où un canapé ultraconnecté préfigure les futures banquettes d'automobiles - dont on imagine sans peine les habitacles se transformer en salons familiaux, avec leurs fauteuils, leurs TV et... leurs écrans publicitaires.
« CENTRALE DE LOISIRS ». C'est la vision à laquelle invite Byton, nouveau constructeur chinois venu présenter son concept-car au CES de Las Vegas en janvier. Ses atouts : un écran tactile de 1,25 mÈtre de large remplaçant le tableau de bord et une antenne 5G sous le toit promettant un débit fou de 10 Gb/s. Mais avant d'en arriver à ce stade ultime de la voiture devenue une « centrale de loisirs », selon les mots de Joël Ronez, fondateur de Binge Audio, bien des jalons attendent les acteurs de l'écosystÈme. Jusqu'à maintenant, seule la radio s'était invitée à bord, avec tout de même 24,5 millions d'automobilistes auditeurs chaque jour, et 31 % de l'audience quotidienne de la radio. Mais les autres médias, presse en tête, entendent investir ce nouveau territoire grâce à l'audio, ce qu'illustre le développement du podcast. « L'enjeu est d'aller vers des moments où l'utilisateur n'est pas en contact avec un écran », explique Emmanuel Alix, directeur numérique à L'Équipe, qui aprÈs le rugby, lance un podcast sur le golf. C'est le sens de la prise de contrôle à 40 % du groupe de presse de Claude Perdriel (Challenges, Historia, Sciences et avenir...) par Renault fin 2017. « Tous les constructeurs se posent cette question du temps disponible des passagers, voire du conducteur. Nous allons inventer des contenus que nous sommes les seuls à savoir faire », souligne Vincent Beaufils, directeur de la rédaction de Challenges, qui a mis en place des ateliers de travail au sein du groupe.
INTERACTIONS VOCALES. C'est aussi dans cette logique que Radio France a rendu compatible son application mobile avec Apple CarPlay et Android Auto, et travaille sur l'interaction vocale, qui pourrait devenir l'interface privilégiée des autos connectées. « Il n'y a pas de raison que la voiture ne garde pas sa place dans l'écoute de la radio, mais nous devons multiplier les parcours possibles pour nous trouver », insiste Laurent Frisch, directeur du numérique à Radio France.
Quid de la publicité dans ces nouveaux contenus ? « Le parrainage semble être une voie dans la monétisation des podcasts », estime Emmanuel Alix. Des preroll ou mid-roll audio, voire des contenus de marque, pourraient en être une autre. « Ce que changent les assistants vocaux, comparé à la radio, est qu'ils ajoutent une interaction, ce qui imposera aux marques d'adopter une identité vocale avant deux ans », prévoit Olivier Ezratty. Le consultant en veille technologique a noté au CES 2018 une vraie montée en puissance du vocal, à l'image de Nuance, qui couple le traitement de la parole à la détection des émotions. Des données qui intéresseront les annonceurs, et que la Cnil [Commission nationale de l'informatique et des libertés] et le RGPD attendent au tournant.
Entre Google et Apple, qui ne monétisent pas (encore) l'écran de nos voitures, l'américain Telenav va tenter de se frayer un chemin. Il a présenté en janvier la premiÈre plateforme publicitaire digitale à destination des constructeurs (Ford, GM et Toyota ont déjà signé) et équipementiers. « Nous leur proposons de financer, avec de la publicité ciblée, des services connectés pour lesquels les conducteurs ne voudraient pas payer, comme la navigation. Shell peut acheter un espace et afficher une pub lorsque le niveau d'essence est bas ou une pizzeria peut se manifester sur le chemin du retour du travail », nous explique Ky Tang, directeur exécutif de la stratégie de Telenav. Pour lui, la plateforme pourrait même financer un service de location de voiture, à l'instar de WaiveCar, qui exploite déjà ce modÈle à San Francisco.
WAZE, LE « PRIME TIME DU MATIN ». Monétiser les taxis et VTC : des régies digitales ont tenté le pari en France en misant sur des tablettes à l'arriÈre du véhicule, comme MediaCab ou Cab Media. Las, beaucoup ont mis la clé sous la porte, ne réussissant pas à capter l'attention des usagers, demeurés fidÈles à leur smartphone. L'autre limite des solutions intégrées aux voitures - par opposition aux smartphones - est qu'elles demandent une connexion à internet. Or, en 2017, Statista ne recensait que 800 000 voitures connectées, soit à peine 1,4 % du marché.
S'il est un acteur ayant trouvé la bonne porte d'entrée dans la voiture, c'est bien l'Israélien Waze (propriété de Google depuis 2013). Il confirme depuis dix ans son pari gagnant : le mobile. Ses 9,8 millions d'utilisateurs actifs en France en 2017, selon App Annie, font de l'application de navigation sociale la sixiÈme dans le pays en termes de communauté. Avec ses trois formats publicitaires axés sur le drive-to-store, elle a séduit une centaine de grands comptes (Auchan, McDonald's, Red Bull...) et un millier de PME. Mais la carte atout de Waze est d'être utilisé à 80 % sur des trajets du quotidien, faisant de ce « média local », selon les mots du directeur France, Jérôme Marty, « le prime time du matin ». Pour lui, l'enjeu est de doser finement la pression et, plutôt que de pousser des pubs intrusives, d'aider les marques à rendre des services selon le contexte. Par exemple, l'assureur GMF diffuse des conseils de conduite lorsque la météo est mauvaise.
Dans ce schéma, les voitures servent de plateforme pour générer de la valeur... que les fabricants laissent filer à Google. L'une des seules contre-offres vient peut-être de S4M, qui prépare du programmatique audio sur mobile. « Avec cela, S4M devient un acteur du drive-to-store, et si le paiement mobile se démocratise, on ira même jusqu'à l'achat », assure Nicolas Rieul, VP Strategy. Car c'est bien la limite de Waze : les annonceurs peinent à vraiment attribuer les ventes. « Aujourd'hui, les constructeurs favorisent l'expérience utilisateur en s'associant à Google et Apple, ce qui est intelligent. Mais à terme, il ne faudra pas laisser les revenus s'échapper aux OTT, alors que McKinsey évalue le marché de la data embarquée à 750 milliards de dollars en 2030 », prévient Grégoire Pauty, en charge de la transformation digitale chez Adobe. En contrôlant la couche logicielle - plutôt qu'en la confiant aux Gafa comme dans les smartphones -, « les fabricants deviendraient des interlocuteurs réguliers, les autorisant à développer d'autres services, comme Orange l'a démontré avec Orange Bank », pense de son côté Paul Boulangé, directeur général de Starcom. « Avec ces options, ils pourraient proposer des bouquets de contenus, comme les opérateurs mobiles avec Netflix ou Deezer, si le modÈle économique de la voiture passe de l'achat unique à l'abonnement », anticipe Martial Viudes, responsable des contenus chez Accenture Interactive. Parmi les options de ces « forfaits », Fabien Camier, planneur stratégique chez Havas Media imagine « Mattel proposer un jeu intégré aux écrans arriÈres de voitures, permettant aux enfants impatients de voir l'évolution du trajet, en utilisant de vraies données comme la vitesse ou le GPS. » QUATRE DILEMMES. Gare à ne pas reproduire les erreurs passées et « à ne pas transformer les voitures en médias, car les adblockers existeront toujours », prévient Jérôme Perissel, directeur digital et innovation chez Zenith. Chez Havas Media, on identifie quatre « dilemmes » : « Concilier un contenu pertinent pour le conducteur et chaque passager, capter l'attention sans menacer la sécurité, diffuser de l'audio dans un espace sonore déjà occupé par les conversations et la radio, trouver le bon moment pour activer une publicité alors que la voiture avance. » Ces questions ne se poseront plus le jour où les voitures circuleront toutes seules dans les villes. Pas prévu avant dix ou vingt ans, ce stade de développement soulÈvera d'autres questions. On imagine des parcours sponsorisés, où le trajet est offert, à condition de visionner un contenu sponsorisé avant de démarrer et d'effectuer un stop de cinq minutes devant une boutique. Pour certains observateurs, la technologie demandée par les voitures 100% autonomes fera exploser les prix. Les acheter sera impossible pour la majorité, et les louer serait aussi compliqué. Reste à les sponsoriser. Et à laisser les marques prendre le volant ? .
DATE-CHARGEMENT: February 15, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: BYTON, nouveau constructeur chinois, a présenté son conceptcar au CES 2018, doté d'un écran tactile de 1,25 m de large faisant office de tableau de bord.RADIO FRANCE travaille sur l'interaction vocale et a rendu son appli mobile compatible avec Apple Android Auto. POUR WAZE, utilisée sur des trajets du quotidien, l'enjeu reste de doser « finement » la pression publicitaire.© Byton
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
4 of 500 DOCUMENTS
Stratégies
15 février 2018
Edition 1;
National Edition
Six étapes à suivre pour être en conformité avec le RGPD
AUTEUR: GILMAR SEQUEIRA MARTINS
RUBRIQUE: Pg. 36,38
LONGUEUR: 1041 mots
HOW TO À trois mois de l'entrée en vigueur du RÈglement général sur la protection des données (RGPD) le 25 mai, il devient urgent pour les entreprises de faire une mise à niveau. La Cnil préconise de suivre six étapes.
1 Désigner un délégué à la protection des données. Avant l'entrée en vigueur du RGPD, la Commission nationale de l'informatique et des libertés (Cnil) recommande aux entreprises de nommer un délégué à la protect ion des données (DPO, pour Data Protect ion Of f icer) et de lui attribuer un triple rôle : informer, conseiller et contrôler. « Nommer un DPO est une premiÈre étape obligatoire si l'entreprise gÈre des données sensibles ou des données personnelles à grande échelle, explique Céline Craipeau, spécialiste produit et solutions chez Tradelab. Étant le pilote de la mise en conformité, il ne doit pas être trop junior. Il devra disposer d'une forme d'indépendance qui lui permettra de mener jusqu'au bout les projets de mise en conformité. » Les entreprises qui ont déjà un Correspondant Informatique et Libertés (CIL), chargé de veiller au respect de la loi éponyme de 1978, disposent naturel lement d'un temps d'avance. Le champ d'action des CIL et leurs compétences couvrent en grande partie ceux du DPO.
2 Car tographier les t r a i t eme n t s d e données personnelles. Les entreprises doivent recenser les données personnelles qu'elles collectent et le traitement qu'elles en font, pour établir un « registre », un document exigé par le RGPD. « C'est le coeur du RGPD, affirme Céline Craipeau. Ce document liste tous les traitements de données personnelles réalisés par une entreprise. C'est une opération trÈs chronophage, qui doit être menée par le DPO, mais elle implique aussi d'autres services comme la DSI ou les RH selon les traitements concernés. » 3 Prioriser les actions à mener. Construire le registre permet de cerner les écarts entre l'existant et les exigences du RGPD. Il est alors possible d'identifier les actions à mener pour entrer en conformité. Pour définir leur priorité, il faut établir une étude d'impact sur la vie privée. Elle fixera le risque que ces traitements font peser sur les droits et libertés des personnes concernées (voir point 4). « Typiquement , explique Céline Craipeau, cette phase permet de savoir si des données personnelles sont stockées aux États-Unis, de vérifier si l'entreprise concernée adhÈre au systÈme américain Privacy Shield ou de mettre en place les clauses contractuelles prévues par la Cnil. » Les premiÈres actions ne sont pas toutes trÈs longues à mettre en oeuvre, souligne de son côté Manuela Pacaud, directrice générale adjointe Conseil et Intégration de Mediapost Communication. « Des actions simples et visibles, des "quick-wins", doivent être menés avant le 25 mai, comme la mise à jour des mentions légales, la sécurisation du recueil de consentement, la modification des contrats des sous-traitants, des clients et des salariés, la création du registre des traitements, la documentation des procédures et la sensibilisation des salariés » , détaille-t-elle.
Gérer les risques.
4 Les t ra i t ement s de données personnelles « susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées » requiÈrent une étude d'impact sur la vie privée (EIVP) de la part de l'entreprise (en anglais, Privacy Impact Assessment ou PIA). La Cnil prévoit de publier une liste des traitements qui exigent une EIVP et met déjà à la disposition des professionnels un logiciel libre afin qu'ils puissent procéder à cette évaluation.
5 Réviser les processus internes. Se conformer au RGPD va exiger une refonte de certains processus internes : les sous-traitants sont également tenus d'être en conformité. Les entreprises doivent revoir les contrats et vérifier que leurs sous-traitants ont pris les mesures nécessaires pour se conformer aux exigences du RGPD. Le recueil du consentement des personnes constitue un enjeu déterminant (voir ci-dessous). Selon Manuela Pacaud, le RGPD n'est pas une étape à franchir mais une culture à installer : « AprÈs le 25 mai, l'enjeu clé sera d'installer la conformité dans le temps en pilotant des chantiers au long cours pour, par exemple, gérer les droits et habilitations en fonction des arrivées et départs des salariés, ou mettre à jour la description des traitements dans le registre. » 6 D o c u m e n t e r l a conformité. Hormis l e s d o c u men t s e t procédures obligatoires prévus (registre des traitements, notification des failles de sécurité aux autorités et aux personnes concernées...), les entreprises doivent aussi documenter tous les processus assurant la conformité. Ces éléments serviront en cas de contrôle pour attester de la démarche.
Trois questions à...
JALNA SOULAGE consultante data de Cheetah Digital (ex-Experian Marketing Services) Comment gérer la validité des consentements ? Nous recommandons de passer en revue l'ensemble des bases de données pour vérifier la validité du recueil du consentement. Six facteurs, par ordre décroissant d'importance, permettent de déterminer le risque : le niveau de consentement, le type de preuve disponible, la date d'engagement du dernier e-mail, la date de la derniÈre visite sur le web, le type de consentement et la date d'inscription.
Comment procéder à leur actualisation ? L'actualisation du consentement peut suivre différentes stratégies. Une actualisation « soft » peut surgir dans la phase de paiement en ligne, avec un bloc de contenu expliquant la réglementation et demandant de nouveau le consentement. Les consentements présentant un risque plus élevé, provenant de compétitions ou obtenus avec des incitations, nécessitent une autre démarche. Cela peut passer par un courrier postal ou un SMS si les personnes l'ont autorisé, qui les invite à visiter le site ou à scanner un QR code afin d'actualiser leur consentement.
Que risque l'entreprise ? Les sanctions ne sont pas à prendre à la légÈre. Au Royaume-Uni, la chaîne de pubs Wetherspoon a préféré détruire une base de plus de 600 000 e-mails qui n'aurait pas été conforme avec le RÈglement général sur la protection des données plutôt que de continuer à les utiliser et ainsi prendre le risque d'avoir à payer une amende [jusqu'à 4 % du chiffre d'affaires mondial].
DATE-CHARGEMENT: February 15, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: © Getty Images© Getty Images
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
5 of 500 DOCUMENTS
Stratégies
15 février 2018
Edition 1;
National Edition
Le marché de la pub en ligne retient son souffle avec ePrivacy;
ENQUÊTE ; Le projet de rÈglement relatif à la vie privée et aux communications électroniques, qui doit accompagner l'entrée en vigueur du RGPD le 25 mai prochain, pourrait avoir d'importantes conséquences pour le marché de la publicité en ligne. En coulisse, les tractations sont loin d'être terminées.
AUTEUR: VANINA PRÉLAT L'HERMINIER
RUBRIQUE: Pg. 32,34
LONGUEUR: 1048 mots
Passera ou passera pas ? Dans le milieu de la publicité en ligne, le devenir du projet de rÈglement européen ePrivacy inquiÈte. L'intention du législateur était pourtant louable : dans un monde où l'individu démultiplie les traces de vie numérique, il fallait l'aider à garder le contrôle de ses données en adaptant de vieilles rÈgles aux nouveaux moyens de communication électroniques.
Mais éditeurs et sociétés de l'adtech pourraient en payer le prix fort, avec la décision d'un coup de vis sans précédent concernant l'exploitation des cookies, ces fragments de code utilisés pour tracer les comportements de navigation des internautes et ainsi améliorer le ciblage publicitaire.
Protection de l'individu contre revenus des éditeurs, les rédacteurs du projet de rÈglement européen semblent avoir choisi, au grand dam de Gautier Picquet, président de Publicis Media France. « Nous sommes tous d'accord pour protéger l'individu et sa donnée, mais nous regrettons que l'ensemble de la chaîne de valeur ne soit pas pris en compte. Ce texte pourrait remettre en cause la compétitivité des entreprises européennes », estime-t-il.
Principal point d'achoppement, l'interprétation d'un article qui, pour diminuer le nombre de sollicitations, demande à chaque personne de décider, dÈs sa premiÈre connexion, du niveau de protection applicable à l'ensemble des sites qu'elle visitera. Le consentement est alors central isé par le navigateur - Chrome, Safari, Firefox... - qui le communique à chaque site au fil des navigations. Pour Nicolas Rieul, chief strategy & marketing officer de la plateforme de programmatique mobile S4M et administrateur de la Mobile Marketing Association, la disposition déconcerte par son opposition radicale à une autre notion fondamentale du texte, celle d'un consentement éclairé et réel. « À date, l'individu ne connaît pas la réelle finalité de son consentement puisqu'il doit gérer un refus ou une acceptation par type d'utilisation et non par éditeur. Or ce qu'il peut vouloir refuser à certains, il peut l'accepter pour d'autres », s'étonne le spécialiste. Au-delà du point de droit, beaucoup d'acteurs voient dans cette clause l'impossibilité pure et simple d'avoir accÈs aux données des internautes si ceux-ci l'ont refusé en premiÈre intention. Pour la Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen, qui a travaillé sur le texte, cette inquiétude n'a pourtant pas lieu d'être. « Il sera toujours possible de redemander le consentement de l'utilisateur pour exploiter ses données site par site », répond-elle.
«Faille de sécurité » Mais selon Florence Chafiol, avocate associée au sein du cabinet August Debouzy, le problÈme reste entier : « D'aprÈs les informations communiquées, la Commission aurait reconnu elle-même la difficulté technique de cette possibilité qui provoquerait, pour reprendre ses mots, une "faille de sécurité". L'intégrité des navigateurs pourrait être altérée si différents sites avaient la possibilité d'interagir. » Autre problÈme soulevé, selon Emmanuel Parody, secrétaire général du Geste, qui fédÈre les principaux éditeurs numériques français, le fait que « le législateur décide de faire confiance à des sociétés non européennes pour collecter, gérer et stocker les consentements et les données personnelles d'internautes européens ». Outre les problÈmes de sécurité et de confidentialité que cela peut poser, les Gafa deviendraient alors juges et parties d'un secteur pour lequel ils pÈsent déjà pour 70 % de l'activité.
Baisse de 25 % du revenu Enfin, le marché pointe du doigt les formalités même du consentement. Pour mettre fin à de mauvaises pratiques, le législateur interdit désormais de conditionner l'accÈs au contenu à l'acceptation du don de ses données, et exige une information claire, ainsi qu'un acte de consentement positif, rétractable à tout moment et réactualisable tous les six mois. Pour Guillaume Jaeger, directeur conseil au sein de la société de stratégie data, Artefact, ce systÈme ne peut qu'engendrer une réduction drastique de la data disponible : « Les études montrent que le consommateur répond prioritairement "non" aux demandes de tracking. On anticipe de fait une baisse de la donnée first party et une quasidisparition de la donnée third party ». Sans ce graal publicitaire prisé par les annonceurs, la mission CGE ePrivacy, mandatée par la Direction générale des entreprises, anticipe une baisse de 25 % en moyenne du revenu numérique des éditeurs.
Ce résultat n'étonne en rien Emmanuel Parody : « Aucun annonceur n'acceptera de revenir à de l'achat contextuel sans ciblage. Les investissements se déplaceront davantage encore vers Google et Facebook, moins contraints par les cookies pour récolter de la donnée personnelle puisqu'ils utilisent un autre systÈme, celui du login. » Et à ceux qui ne verraient là que de simples histoires de gros sous, dont serait privé un marché qui a beaucoup abusé de la data ces derniÈres années, le spécialiste répond : « nous parlons en réalité du financement de la presse et de son indépendance. Sans revenus, peu de moyens pour financer une information de qualité et la possible fin de l'internet gratuit pour tous, avec la systématisation de l'accÈs payant au contenu. » Face à tous ces enjeux, beaucoup, comme Yan Claeyssen, directeur général de l'agence spécialisée en data marketing Publicis ETO, veulent croire qu'ils ont encore le temps d'agir : « le texte n'en est qu'au stade de projet. Il peut et doit encore évoluer. » À Bruxelles, ces derniers mois, les actions de lobbying se multiplient donc, comme cette lettre ouverte d'éditeurs européens ou la publication de la position commune de 5 000 entreprises françaises coordonnée par l'Union française du marketing direct (UFMD) et le Geste. Autant de points de vue que ne manquera pas de prendre en compte le Conseil de l'Union européenne, prochain organe à devoir se prononcer sur le texte le 8 juin prochain. En cas d'acceptation du projet en l'état par 55 % des ministres autour de la table, l'adoption sera actée. À défaut, les discussions se poursuivront.
« Les investissements se déplaceront davantage vers Google et Facebook, moins contraints par les cookies pour récolter de la donnée personnelle. »Emmanuel Parody, secrétaire général du Geste.
DATE-CHARGEMENT: February 15, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: © Getty Images© Getty Images
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
6 of 500 DOCUMENTS
Economie Matin
14 février 2018 10:31 AM GMT
Protection des données personnelles, ou barrières protectionnistes à l'entrée des marchés ?
LONGUEUR: 1143 mots
La protection des données personnelles est un enjeu de libertés publiques largement traité par le règlement général sur la protection des données (RGPD) du 27 avril 2016, directement applicable en droit français. Mais l'Assemblée Nationale discute en ce moment d'un projet de loi qui devrait sur-transposer le texte pour certains, et l'alléger pour d'autres. Comme par hasard, l'essentiel du débat porte sur le secteur sensible des données de santé. La donnée personnelle est un sujet compliqué. Les procédés de collecte industrielle, démocratisés avec Internet et l'informatique, font peser une menace effective sur les libertés individuelles. L'univers 1984 n'est pas loin Dans le même temps, la donnée personnelle est devenue un enjeu économique colossal. L'utilisation commerciale des données, surtout celles qui sont collectées par les réseaux sociaux, représente un marché désormais essentiel dans l'économie mondiale de marché. On mesure tout de suite la difficulté d'édicter des règles satisfaisantes qui combinent, pour le seul territoire de l'Union Européenne, une protection suffisante des libertés individuelles sans entraver de façon excessive la liberté commerciale des start-up qui se consacrent à cette activité. S'agissant de l'Union Européenne, le problème est d'autant plus compliqué qu'il faut éviter d'établir de trop grandes distorsions avec le pays qui a dépassé la frontière technologique sur ces sujets: les Etats-Unis.
Protection des données personnelles, entrave à la concurrence Un secteur concentre la férocité de la concurrence dans le domaine des données personnelles: la santé. C'est dans ce domaine, très prisé de l'Internet des Objets, que le sémillant Bruno Le Maire avait par exemple annoncé que la France investirait. Bon, la promesse ne sera pas vraiment tenue, puisque le RGPD a largement balayé le champ des objets connectés. Selon le règlement européen, en effet, les données de santé désignent aussi celles qui proviennent d'un dispositif médical. Le traitement des données est lui-même défini de façon très large: toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction Bref, le règlement a " réglementé " l'ensemble de l'Internet des Objets que Bruno Le Maire voulait, paraît-il, porter au pinacle de la réindustrialisation française. Il va sans dire que cette réglementation vaut pour l'Europe et pas pour les Etats-Unis. La protection des données personnelles comme barrière à l'entrée Le principe général du règlement est celui du consentement exprès des personnes. D'où l'édiction d'une règle générale: toute collecte des données doit être précédée par un consentement exprès du " client " à cette collecte. Le règlement formule ce principe autour de trois notion fondamentales: licéité, loyauté, transparence. Autrement dit, un opérateur ne peut utiliser les données d'une personne sans qu'elle n'en connaisse exactement la destination et les conditions. Pour l'industrie de l'objet connecté, l'entrave est forte sur le sol européen. Ses acteurs ne se sont pas trompés en condamnant cette restriction majeure à leur activité. L'Union Européenne voudrait vivre dans l'Internet des Objets le même désastre que dans les moteurs de recherche, elle ne s'y prendrait pas autrement. Comment la France protège ses rentiers contre le RGPD La France a décidé d'accompagner le règlement (d'application directe, rappelons-le, contrairement aux directives) d'une loi de transposition. La méthode paraît curieuse puisqu'un règlement se suffit à lui-même. C'est en lisant les débats à l'Assemblée Nationale qu'on comprend pourquoi la France s'offre ce luxe de sur-transposition (au demeurant, vieille tradition française qui utilise souvent le droit communautaire comme levier pour entraver la libre concurrence sur son sol). Le texte prévoit notamment un article 13 qui fixe la liste des organismes non concernés par le RGPD. Comme par hasard, cet inventaire exonère les associations, les médecins, les administrations et la sécurité sociale de l'obligation de donner un consentement aux personnes dont les données sont collectées. On ne pouvait imaginer meilleure distorsion de concurrence entre les anciens acteurs de la santé et les nouveaux. Des petits conflits d'intérêt chez LREM? Au passage, les esprits vicieux noteront que l'une des rapporteuses du texte est Albane Gaillot, députée marcheuse et ancienne salariée d'un organisme complémentaire de sécurité sociale. C'est probablement sans lien si, en dernière minute, le gouvernement a présenté un amendement accordant aux organismes complémentaires la même exonération qu'à la sécurité sociale. La majorité devrait se méfier de ce genre d'opérations. Un jour, tout cela lui jouera un vilain tour. Des barrières à l'entrée pour les start-up Résumons, donc! l'Union Européenne édicte un règlement qui protège les données personnelles. La France adopte une loi qui exonère ses propres acteurs obsolètes de son application. En revanche, elle y soumet les start-up. Le monde nouveau est en marche! Les données à caractère personnel concernant la santé devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée. Cela comprend des informations sur la personne physique collectées lors de l'inscription de cette personne physique en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services au sens de la directive 2011/24/UE du Parlement européen et du Conseil (9)au bénéfice de cette personne physique; un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l'identifier de manière unique à des fins de santé; des informations obtenues lors du test ou de l'examen d'une partie du corps ou d'une substance corporelle, y compris à partir de données génétiques et d'échantillons biologiques; et toute information concernant, par exemple, une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l'état physiologique ou biomédical de la personne concernée, indépendamment de sa source, qu'elle provienne par exemple d'un médecin ou d'un autre professionnel de la santé, d'un hôpital, d'un dispositif médical ou d'un test de diagnostic in vitro. RGPD, attendu 35 Article écrit par Eric Verhaeghe pour son blog
DATE-CHARGEMENT: 17 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Economie Matin
Tous droits réservés
7 of 500 DOCUMENTS
La Tribune.fr
Mercredi 14 Février 2018 6:05 PM CET
Ce qu'il faut retenir du projet de loi sur la protection des données personnelles
AUTEUR: Anaïs Cherif
RUBRIQUE: TECHNOS & MEDIAS
LONGUEUR: 750 mots
ENCART: Le projet de loi a été adopté mardi à l'Assemblée nationale. Il vise à se mettre en conformité avec le "paquet européen de protection des données", en vigueur à partir du 25 mai. L'esprit du texte : fournir davantage de transparence et de contrôle pour les internautes européens sur l'utilisation de leurs données personnelles.
Carton (presque) plein. Le projet de loi sur la protection des données personnelles a été adopté mardi en première lecture à l'Assemblée nationale avec 505 voix pour, 18 contre et 24 abstentions. Cependant, le texte doit encore être approuvé par le Sénat, qui l'examinera à partir du 20 mars. De quoi parle-t-on ? Ce projet révise la Loi Informatique et Libertés de 1978. Le but : se préparer à l'entrée en vigueur du "paquet européen de protection des données" le 25 mai. Ce dernier comprend notamment le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux. Cette nouvelle législation instaure davantage de transparence pour les internautes européens sur l'utilisation de leurs données personnelles : nom, prénom, âge, genre... Les citoyens auront également des nouveaux droits, comme l'effacement des données (droit à l'oubli) et la portabilité des données (récupération de ses données). Selon une étude de l'institut CSA de septembre 2017, 85% des Français se disent préoccupés par la protection de leurs données personnelles en général, et 90% de leurs données en ligne.
"La protection des données à caractère personnel revêt une dimension particulière depuis l'avènement de l'ère du numérique" plaidait dans ce sens Nicole Belloubet, ministre de la Justice, lors de la présentation du projet de loi à la mi-décembre. Quels sont les apports du projet de loi ? Majorité numérique, action collective... Tour d'horizon des mesures phares :
La majorité numérique à 15 ans Le projet de loi prévoit qu'un "mineur peut consentir seul à un traitement de données à caractère personnel" à partir de 15 ans. En clair, c'est l'âge à partir duquel un adolescent pourra officiellement s'inscrire sur un réseau social, ou sur toute autre plateformes collectant des données personnelles. Entre 13 ans et 15 ans, le consentement de l'enfant et celui de ses parents seront nécessaires. Au-dessous de 13 ans, toute collecte de données est interdite. Le règlement européen, lui, fixe la majorité numérique à 16 ans, mais autorise les États-membres à l'abaisser jusqu'à 13 ans.
Quinze ans, "c'est l'âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur Internet", a justifié la rapporteure du texte, Paula Forteza (LaRem). Actuellement, l'âge nécessaire pour se créer un compte sur les réseaux sociaux est déterminé par les plateformes elles-mêmes. À titre d'exemple, il est possible de s'inscrire sur Facebook sans autorisation parentale à partir de 13 ans. Cette nouvelle disposition ouvre un débat sensible : comment appliquer cette majorité numérique dans les faits ? "Plus que 63,71% des 11-14 ans sont inscrits à un réseau social" et "ils sont plus de 4 sur 10 à mentir sur leur âge", selon une étude de la Cnil (Commission nationale de l'informatique et des libertés), publiée en juin 2017. Lire aussi : Avec Messenger Kids, Facebook veut toucher les enfants de 6 à 12 ans
Action de groupe... pour une indemnisation financière Le projet de loi ouvre la possibilité à des actions de groupe pour demander réparation en cas d'utilisation abusive des données personnelles. Le préjudice, "d'ordre matériel ou moral", peut ouvrir à une indemnisation financière. Des poursuites peuvent être engagées à l'encontre d'un responsable de traitement de données, mais aussi, d'un sous-traitant. Les actions de groupe en la matière étaient déjà prévues par l'article 91 de la loi du 18 novembre 2016. En revanche, elles permettaient uniquement la cessation de l'infraction.
Un contrôle a posteriori pour les entreprises Moins de formalités. Le texte remplace le système de contrôle a priori - avec des déclarations et des autorisations préalables - par un contrôle a posteriori. Une exception : les données dites sensibles, comme les données biométriques, n'échapperont pas à un contrôle a priori. Les sociétés détentrices de données seront responsables des informations privées collectées. Elles devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente - en France, la Cnil - en cas de perte, de vol ou de divulgation. Le cas échéant, le montant de l'amende peut grimper jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros. (avec agences)
La nouvelle législation européenne, en vigueur à partir du 25 mai, instaure davantage de transparence pour les internautes sur l'utilisation de leurs données personnelles (nom, prénom, âge, genre...)(924299.png)
DATE-CHARGEMENT: 14 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
8 of 500 DOCUMENTS
La Tribune.fr
Mercredi 14 Février 2018 10:52 AM CET
Qui est le propriétaire des données de ma santé ?
AUTEUR: Kim Boyer
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 1659 mots
ENCART: Lorsqu une personne passe un examen médical ou donne sa carte Vitale, elle produit des informations personnelles. A l occasion des États généraux de la bioéthique, le point sur leur devenir. Par Kim Boyer, Université Paris 2 Panthéon-Assas
Chacun d'entre nous produit une grande quantité de données sur sa santé, parfois même sans le savoir. Ce peut être un taux de cholestérol, après s'être rendu pour une prise de sang dans un laboratoire d'analyses ; un diagnostic de trouble du rythme cardiaque, suite à un bilan réalisé par le cardiologue ; un nombre de pas faits durant la journée, enregistré automatiquement par le smartphone. La plupart de ces informations restent sur le papier, dans un dossier à notre nom à l'hôpital, ou dans une chemise cartonnée à la maison. Mais elles se présentent, de plus en plus, sous forme numérique. Elles peuvent être stockées sur notre ordinateur personnel ou notre smartphone mais aussi... ailleurs.
Aujourd'hui, je n'ai plus besoin de me déplacer au laboratoire d'analyses ou d'attendre le courrier pour connaître mes résultats. Il me suffit d'aller sur son site et de les télécharger. Pratique ! Seulement, mon taux de cholestérol ou de fer reste stocké sur le serveur du laboratoire. Quand je consulte un médecin dans son cabinet, le remboursement de la Sécurité sociale tombe automatiquement sur mon compte en banque, grâce à la carte Vitale. Pratique, là aussi. Mais des informations comme le nom du médecin que j'ai vu ou sa spécialité sont conservées par l'Assurance-maladie. Ainsi, le citoyen produit des données lorsqu'il se soigne, demande un remboursement à l'Assurance-maladie ou à sa mutuelle, s'inscrit sur un groupe Facebook de patients ou se confie sur les réseaux sociaux, utilise un bracelet tracker d'activité ou un autre objet connecté pour sa santé. Certains d'entre nous expriment une crainte, légitime, celle d'être fichés voire dépossédés de leurs données de santé. Comment partager ces informations très personnelles pour bénéficier de services profitables à notre bien-être ou encore faire avancer la recherche médicale, tout en évitant qu'elles nous échappent ? C'est l'un des sujets dont les citoyens débattent actuellement à travers les États généraux de la bioéthique. Un « déluge » de données Les moindres actes de notre existence s'accompagnent aujourd'hui d'une captation automatique des données, provoquant un « déluge » de données liées à notre personne. Grâce aux nouvelles technologies de l'information, combinées avec les sciences cognitives et l'intelligence artificielle, ces big data peuvent être organisées de manière à nous être utiles. En ce qui concerne notre santé, les médecins et les établissements de soins ne sont plus seuls à récolter nos données. Les nouveaux acteurs, désignés comme des « collecteurs » de données, comptent notamment les géants du web comme Google, Apple, Facebook, Amazon - surnommés les Gafa. Dans la chaîne de traitement des données viennent ensuite les « hébergeurs », c'est-à-dire les entreprises détenant des parcs de serveurs informatiques pour les stocker. Enfin interviennent les data scientists, ou scientifiques de données, qui identifient dans la masse de données celles qui présentent un intérêt et dessinent des modèles ou algorithmes prédictifs. Améliorer sa santé par le traitement de mégadonnées : les promesses sont immenses. Le PDG de Facebook les avait d'ailleurs évoquées en 2017, alors qu'il faisait face à des critiques sur l'aspect trop commercial de son réseau social. Dans un discours prononcé à l'université de Harvard, Marc Zuckerberg suggérait : « Pourquoi ne pas guérir toutes les maladies et demander aux bénévoles de collecter leurs informations médicales et de partager leurs génomes ? » L'idée peut paraître séduisante... mais aussi terrifiante. Notre santé, des données personnelles « sensibles » Au regard du droit français, les données de santé constituent des données personnelles dites « sensibles ». C'est-à-dire qu'elles méritent une protection accrue eut égard à leur nature, touchant au plus intime de l'individu. Elles sont ainsi régies par le droit commun des données personnelles, assorti d'un surplus de protections spécifiques. Nous ne sommes pas « propriétaires » de nos données personnelles. Ce principe a été juridiquement exclu, et ce à plusieurs reprises. Ainsi, leur indisponibilité de principe a été consacrée par la loi informatique et liberté de 1978. Autrement dit, la personne ne peut en aucun cas disposer librement de ses données ni les vendre. Elle ne peut en être qu'usufruitière. En effet, la propriété est constituée de l'usus (droit d'user librement de l'objet du droit de propriété), le fructus (le droit de récolter les fruits générés par l'objet du droit de propriété) et l'abusus (le droit d'abuser de l'objet du droit de propriété, c'est-à-dire le droit de le vendre). Plusieurs arguments juridiques sous-tendent cette position. D'abord, reconnaître à la personne « fichée » la propriété de ses données donnerait à ce droit une composante patrimoniale. Elle aurait alors la possibilité de monnayer l'accès d'un tiers à cet élément de sa personnalité. Or les données de santé, produits du corps humain, ne peuvent pas être commercialisées par la personne. Par contre, un « collecteur » peut, lui, commercialiser un fichier de données, à condition que celles-ci soient anonymes. Ensuite, donner un droit de la propriété à la personne fichée reviendrait à la reconnaître comme acteur principal de sa protection. Dans cette logique, elle serait la plus à même d'opérer des choix rationnels et de veiller à son propre intérêt. Ce postulat libéral est celui de la législation américaine. Mais cette position n'est pas partagée par le droit français, ni par celui de l'Union européenne. L'un comme l'autre considèrent que la personne fichée ne peut opérer des choix pleinement éclairés. Car bien souvent elle n'est pas informée de la manière dont sera traitée l'information, ou alors de manière incomplète. Le risque est grand qu'elle sacrifie la protection de ses données personnelles pour pouvoir accéder à un service désirable. À titre d'exemple, si je veux mieux surveiller ma ligne en utilisant l'application liée à ma balance connectée, je vais entrer des données relatives à mon âge, mon poids, ma taille et bien d'autres paramètres. Et tant pis si je ne sais pas grand-chose de la manière dont celles-ci seront utilisées... Le respect de la vie privée, mais aussi le lancement de services utiles Les législations européenne et française ont cherché à ménager le respect des droits et libertés fondamentaux des individus, sans bloquer le flux des données à caractère personnel et les services utiles qui pourraient découler de son traitement. Elles ont institué pour cela une liberté de traitement de principe, assortie d'une police administrative spéciale. Il s'agit à la fois de protéger les intérêts privés, autrement dit de respecter la vie privée, et de poursuivre un objectif d'intérêt général. Ce dernier consiste à pouvoir développer de nouveaux services, basés par exemple sur l'analyse de nos navigations sur le web. Des chercheurs ont ainsi proposé, dans une étude publiée en 2017 dans la revue EPJ data science, de diagnostiquer la dépression à partir des photos postées par la personne sur le réseau social Instagram. Afin de défendre cette liberté de prestation de services, la communauté internationale a consacré la notion de « société d'information ». Celle-ci est issue du principe de libre circulation de l'information adopté aussi bien par l'Organisation des Nations unies (ONU), le GATT (Accord général sur les tarifs douaniers et le commerce), l'Organisation mondiale du commerce (OMC), l'UIT (Organisation internationale des télécommunications), l'Union européenne, que par le Conseil de l'Europe. Le consentement, un droit fondamental Toutefois, le traitement des données personnelles est conditionné à l'obtention du consentement de la personne concernée. Ce point figure dans la Charte des droits fondamentaux de l'Union européenne, adoptée en 2000, ainsi que dans une directive européenne de 1995. Au sein de l'Union, le règlement général sur la protection des données (RGPD), signé en 2016, poursuit cet objectif d'équilibre. Il entrera en vigueur en France le 25 mai 2018. Il renforce les droits des personnes fichées en leur offrant un certain empowerment, mot que l'on peut traduire par la capacité à agir sur son propre destin. L'empowerment passe par la libre disposition des données personnelles pour les individus, dans l'idée que chacun devienne véritablement acteur de la protection de ses droits. Aussi, les partisans du principe de libre disposition le présentent comme un rempart face à la consécration d'un droit de propriété d'acteurs extérieurs sur les données personnelles. En France, l'adoption en 2016 de la loi pour une république numérique a anticipé sur l'entrée en vigueur du RGPD. Cette loi consacre le principe de la libre disposition. Cette dernière s'est traduite concrètement par l'assurance, par exemple, de la confidentialité des correspondances électroniques - sauf si l'usager a donné son consentement pour leur traitement automatisé. Dans cet esprit, les individus disposent aussi d'un droit à la « portabilité » de leurs données personnelles. Celui-ci permet aux individus de récupérer celles qui sont récoltées par un prestataire de services. Ils peuvent aussi décider de les transférer à d'autres prestataires. Le but de la portabilité est de redonner aux personnes à l'origine des données un certain pouvoir sur l'usage qui en est fait. Sans pour autant qu'elles puissent les vendre. Qui est, aujourd'hui, le propriétaire des données de ma santé ? Ni tout à fait moi-même, ni tout à fait l'organisme ou l'entreprise qui les collecte. Le législateur s'efforce de maintenir, dans la durée, un subtil équilibre entre les deux.
_____
Par Kim Boyer, Doctorante en droit de la protection sociale, Université Paris 2 Panthéon-Assas
La version originale de cet article a été publiée sur The Conversation
Lorsque le patient donne sa carte Vitale au médecin à la fin de la consultation, l Assurance-maladie enregistre des données personnelles concernant sa santé.
DATE-CHARGEMENT: 14 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
9 of 500 DOCUMENTS
Le Figaro
Mercredi 14 Février 2018
La justice allemande condamne Facebook pour des conditions d'utilisation;
Un tribunal a jugé que le réseau social utilise les données de ses utilisateurs de manière illégale.
AUTEUR: Vergara, Ingrid
RUBRIQUE: TECH; Pg. 25 N° 22864
LONGUEUR: 695 words
DONNÉES
Facebook perd une nouvelle manche judiciaire en Allemagne. Un tribunal régional de Berlin a condamné le groupe à modifier une partie de ses conditions d'utilisation jugées contraire à la loi allemande sur la protection des données personnelles. Le géant américain doit mettre ses conditions en conformité avec la législation sous peine de se voir infliger une amende pouvant aller jusqu'à 250 000 euros pour chaque infraction constatée. Cette décision a été rendue le 16 janvier, mais n'a été portée à la connaissance du public que le 12 février.
Dans ce combat, Facebook est face à la Fédération allemande des organisations de consommateurs (VZBV), qui a saisi la justice sur ce point en 2015. Le VZBV appuyait sa plainte sur la loi fédérale allemande de protection des données. Cette dernière stipule que, pour obtenir le consentement d'un consommateur, les sociétés technologiques doivent être très claires sur la nature, l'étendue et le but dans lequel elles vont utiliser ces données. Or, comme le dénonçaient les associations de consommateurs, le tribunal a estimé que Facebook n'avait pas assez attiré l'attention des 30 millions d'utilisateurs allemands sur des options précochées par défaut dans les paramètres de confidentialité. Parmi elles, l'activation par défaut de l'option de partage de la géolocalisation d'un utilisateur dans une discussion sur Facebook Messenger, qui permet à son interlocuteur de savoir où se trouve celui qui lui écrit. Ou encore celle qui permet à des moteurs de recherche comme Google de proposer un lien vers un profil d'utilisateur.
Au total, les magistrats auraient censuré huit clauses des conditions générales. « Facebook cache les paramètres par défaut qui ne sont pas respectueux de la vie privée dans son centre de confidentialité et ne fournit pas suffisamment d'informations à ce sujet lorsque les utilisateurs s'enregistrent », expliquait Heiko Duenkel, le responsable des contentieux à la VZVB.
Facebook a fait appel de ce jugement. Il se défend en expliquant avoir déjà modifié de façon importante ses paramètres en matière de protection des données depuis le début de la procédure. « Nous travaillons dur afin de nous assurer que nos conditions d'utilisation sont claires et faciles à comprendre, et que les services offerts par Facebook sont pleinement conformes aux lois », a répondu un porte-parole de Facebook. Ce dernier avance aussi que d'autres changements vont arriver avec l'entrée en vigueur, le 25 mai prochain, du règlement européen sur la protection des données personnelles (RGPD). Le 24 janvier, Sheryl Sandberg, la numéro 2 de Facebook, annonçait des changements majeurs dans l'année à venir afin de pouvoir se mettre en conformité avec la nouvelle donne européenne. « Nous allons déployer un nouveau centre de confidentialité à l'échelle mondiale qui mettra les principaux paramètres de confidentialité de Facebook en un seul endroit et facilitera grandement la gestion de leurs données par les utilisateurs», a-t-elle déclaré à Bruxelles.
L'Allemagne aux avant-postes
En Allemagne, Facebook est également sous le coup d'une enquête de l'autorité de la concurrence. Celle-ci doit rendre ses conclusions définitives à l'été prochain, mais lui reproche d'abuser de sa position de leader en faisant dépendre l'utilisation de son service à la collecte de certaines données.
L'Allemagne est depuis plusieurs années aux avant-postes sur les questions de protection des données des utilisateurs. L'an dernier, la cour administrative de Hambourg avait confirmé l'interdiction, prononcée par l'autorité de la concurrence allemande en septembre 2016, de partage des données entre l'application de messagerie WhatsApp et sa maison mère Facebook. Là encore, la Cnil allemande avait jugé à l'époque que Facebook procédait à cette pratique sans vraiment solliciter l'accord de ses utilisateurs, et avait ordonné d'arrêter immédiatement cette importation. Elle avait été soutenue par l'ensemble des régulateurs de données européens, le G29. En France, Facebook est aussi sous le coup d'une mise en demeure de la Cnil sur ce sujet. En décembre, elle a donné trois mois à l'entreprise américaine pour s'y conformer.
DATE-CHARGEMENT: 13 Février 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Facebook
Le géant américain doit mettre ses conditions en conformité avec la législation allemande sous peine de se voir infliger une amende pouvant aller jusqu'à 250 000 euros pour chaque infraction constatée.
AFP
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous droits réservés
10 of 500 DOCUMENTS
Le Figaro Économie
Mercredi 14 Février 2018
La justice allemande condamne Facebook pour des conditions d'utilisation
AUTEUR: Vergara, Ingrid
RUBRIQUE: TECH; Pg. 25 N° 22864
LONGUEUR: 696 mots
DONNÉES Facebook perd une nouvelle manche judiciaire en Allemagne. Un tribunal régional de Berlin a condamné le groupe à modifier une partie de ses conditions d'utilisation jugées contraire à la loi allemande sur la protection des données personnelles. Le géant américain doit mettre ses conditions en conformité avec la législation sous peine de se voir infliger une amende pouvant aller jusqu'à 250 000 euros pour chaque infraction constatée. Cette décision a été rendue le 16 janvier, mais n'a été portée à la connaissance du public que le 12 février. Dans ce combat, Facebook est face à la Fédération allemande des organisations de consommateurs (VZBV), qui a saisi la justice sur ce point en 2015. Le VZBV appuyait sa plainte sur la loi fédérale allemande de protection des données.
Cette dernière stipule que, pour obtenir le consentement d'un consommateur, les sociétés technologiques doivent être très claires sur la nature, l'étendue et le but dans lequel elles vont utiliser ces données. Or, comme le dénonçaient les associations de consommateurs, le tribunal a estimé que Facebook n'avait pas assez attiré l'attention des 30 millions d'utilisateurs allemands sur des options précochées par défaut dans les paramètres de confidentialité. Parmi elles, l'activation par défaut de l'option de partage de la géolocalisation d'un utilisateur dans une discussion sur Facebook Messenger, qui permet à son interlocuteur de savoir où se trouve celui qui lui écrit. Ou encore celle qui permet à des moteurs de recherche comme Google de proposer un lien vers un profil d'utilisateur.Au total, les magistrats auraient censuré huit clauses des conditions générales. « Facebook cache les paramètres par défaut qui ne sont pas respectueux de la vie privée dans son centre de confidentialité et ne fournit pas suffisamment d'informations à ce sujet lorsque les utilisateurs s'enregistrent », expliquait Heiko Duenkel, le responsable des contentieux à la VZVB.Facebook a fait appel de ce jugement. Il se défend en expliquant avoir déjà modifié de façon importante ses paramètres en matière de protection des données depuis le début de la procédure. « Nous travaillons dur afin de nous assurer que nos conditions d'utilisation sont claires et faciles à comprendre, et que les services offerts par Facebook sont pleinement conformes aux lois », a répondu un porte-parole de Facebook. Ce dernier avance aussi que d'autres changements vont arriver avec l'entrée en vigueur, le 25 mai prochain, du règlement européen sur la protection des données personnelles (RGPD). Le 24 janvier, Sheryl Sandberg, la numéro 2 de Facebook, annonçait des changements majeurs dans l'année à venir afin de pouvoir se mettre en conformité avec la nouvelle donne européenne. « Nous allons déployer un nouveau centre de confidentialité à l'échelle mondiale qui mettra les principaux paramètres de confidentialité de Facebook en un seul endroit et facilitera grandement la gestion de leurs données par les utilisateurs », a-t-elle déclaré à Bruxelles.
L'Allemagne aux avant-postes
En Allemagne, Facebook est également sous le coup d'une enquête de l'autorité de la concurrence. Celle-ci doit rendre ses conclusions définitives à l'été prochain, mais lui reproche d'abuser de sa position de leader en faisant dépendre l'utilisation de son service à la collecte de certaines données.L'Allemagne est depuis plusieurs années aux avant-postes sur les questions de protection des données des utilisateurs. L'an dernier, la cour administrative de Hambourg avait confirmé l'interdiction, prononcée par l'autorité de la concurrence allemande en septembre 2016, de partage des données entre l'application de messagerie Whats App et sa maison mère Facebook. Là encore, la Cnil allemande avait jugé à l'époque que Facebook procédait à cette pratique sans vraiment solliciter l'accord de ses utilisateurs, et avait ordonné d'arrêter immédiatement cette importation. Elle avait été soutenue par l'ensemble des régulateurs de données européens, le G29. En France, Facebook est aussi sous le coup d'une mise en demeure de la Cnil sur ce sujet. En décembre, elle a donné trois mois à l'entreprise américaine pour s'y conformer.
DATE-CHARGEMENT: 13 Février 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Facebook
Le géant américain doit mettre ses conditions en conformité avec la législation allemande sous peine de se voir infliger une amende pouvant aller jusqu'à 250 000 euros pour chaque infraction constatée.
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous Droits Réservés
11 of 500 DOCUMENTS
Le Cercle
mercredi 14 février 2018
Que réserve 2018 aux directeurs techniques ?
AUTEUR: Scott Gnau
RUBRIQUE: ARTICLE; Stop aux abus concernant le stockage cloud
LONGUEUR: 999 mots
ENCART: 2017 aura été une année riche en événements. Nous vivons actuellement une ère de changements technologiques que nous voyons déjà se concrétiser au premier trimestre 2018 surtout concernant le champ d'action des directeurs techniques.
Des organisations comme le Pentagone se tournent vers l'open source en quête d'une plus grande sécurité et afin de faciliter leur adoption rapide de nouvelles technologies. Nous constatons tous au vu des multiples compromissions de données qui se sont produites cette année que la gouvernance des données a de lourdes implications sur les consommateurs et les partenaires des entreprises. Enfin, le cloud computing ainsi que l'IA/le machine learning atteignent un point de bascule avec des implications concrètes constatées partout dans le monde.
Et les perspectives de l'année à venir sont tout aussi enthousiasmantes, sinon plus !
Stop aux abus concernant le stockage cloud
L'industrie informatique a plus que fait la part belle au cloud. Face à l'intensification de leurs besoins vis-à-vis des données et de la capacité de calcul, les entreprises vont devoir jongler avec les avantages, mais aussi les inconvénients qu'il y a à utiliser plusieurs clouds ou environnements de cloud hybride, les deux priorités étant le coût et la gouvernance.
Nous ne savons toujours pas comment absorber les déluges de données qui nous arrivent chaque jour. Mais dans le contexte de transition des applications et des services que nous utilisons depuis plusieurs années et qui oblige à envisager de nouveaux systèmes de stockage, nous allons devoir y réfléchir et vite ! Ce sera la mission des directeurs techniques en 2018. Plus spécifiquement, il faudra se demander s'il n'est pas temps d'encadrer "les utilisations abusives du stockage cloud".
Sachant que le coût de possession des données ne cesse de progresser, malgré l'utilisation d'un, deux ou trois clouds, les entreprises vont réaliser qu'elles se sont engagées sur un chemin de hausse perpétuelle des dépenses IT de gestion de leurs environnements multicloud, de leurs déploiements sur site et plus encore, laissant moins de budget à consacrer à l'innovation. Ce constat devrait se généraliser en 2018.
2018 sera l'année de la gouvernance des données
Des cas de compromission de données fortement médiatisés nous ont fait mesurer l'importance de la gouvernance des données cette année. Avant d'expliquer l'importance de la thématique de gouvernance en 2018, voyons ce que la gouvernance des données recouvre. La gouvernance des données suppose que l'on interprète les données et qu'on les étiquette pour connaître leur origine, qui y a accès, qui les a effectivement consultées, quelles nouvelles données ont alors été produites et où elles ont été envoyées. Cela crée une notion de traçabilité, d'accès contextuel aux données, de confidentialité et de sécurité (collectivement la "provenance").
Au cours des années passées, la gouvernance des données relevait d'un processus spécifique simple à mettre en oeuvre. Nous établissions un périmètre autour des données, avec des responsabilités attribuées, si bien que la gouvernance en faisait souvent partie d'emblée (pensez aux schémas sémantiques). Nous commençons à comprendre aujourd'hui que le périmètre de la gouvernance des données a évolué. Il n'y a pas si longtemps, l'Internet des objets (IoT) et les données sociales et numériques n'étaient pas aussi importants pour les entreprises qu'aujourd'hui, puisque quasiment toutes les données étaient créées en interne pour les systèmes ERP (enterprise resource planning) et transactionnels, et protégées par des pare-feux. Dans le nouveau monde de l'IoT, ce n'est plus le cas. Des données sont désormais produites à l'extérieur des pare-feux sans contrôles spécifiques, et les données non sensibles peuvent désormais être partagées et consultées avec beaucoup moins de restrictions, sans que les directives strictes des organisations s'appliquent.
Les cas de compromission de données fortement médiatisés nuisent à la réputation et à la valeur de l'entreprise sur le marché, avec à la clé l'exposition des données confidentielles de millions de clients. Les compromissions de sécurité soulignent l'importance d'une gouvernance globale des données.
Autre événement imminent en faveur de l'importance de la gouvernance des données, l'entrée en vigueur du nouveau règlement général de l'UE sur la protection des données (RGPD), qui protège les utilisateurs en leur conférant le pouvoir de décision sur la façon dont ils veulent que leurs données soient traitées. Si les entreprises mesurent la nécessité d'instaurer rapidement une bonne gouvernance des données selon la méthodologie adaptée, elles se conformeront aisément aux réglementations sans cesse plus nombreuses.
IoT : résultats réels, implications réelles en 2018
Les entreprises redoublent d'efforts pour concrétiser leur vision de l'Internet industriel. Des déploiements générateurs de valeur existent déjà avec des scénarios applicables à de nombreux secteurs verticaux de l'industrie, que ce soient les détecteurs de gaz et de pétrole connectés à un dispositif de forage, les services publics connectés, les usines intelligentes ou les voitures et moteurs connectés.
Mais nous n'en sommes qu'au tout début des dispositifs grand public connectés. On connaît déjà les montres et bracelets de sport ou les applications de e-santé mais il faut s'attendre à un déluge de dispositifs connectés dont les données vont venir rapidement augmenter le volume colossal existant. C'est à nous, directeurs techniques, d'accompagner la prochaine vague d'adoption et de devancer cette technologie, que ce soit pour définir votre architecture de données ou identifier de nouveaux secteurs d'activité.
Les entreprises doivent construire leur environnement pour gérer les terminaux mobiles connectés. Les applications grand public en sont encore à leurs débuts, étonnamment. Mais quand elles deviendront mainstream, elles atteindront des ordres de grandeur nettement supérieurs.
Résultat : Veillez à être prêts à gérer des environnements multiclouds et hybrides, à préparer vos données pour vous conformer aux obligations de gouvernance ou aux réglementations et assurez-vous d'être préparés à la prochaine vague de l'IoT.
DATE-CHARGEMENT: 15 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
12 of 500 DOCUMENTS
Banque & Stratégie
13 février 2018
Quelles tendances pour la cybersécurité en 2018 ?
RUBRIQUE: SYSTÈME D'INFORMATION
LONGUEUR: 1996 mots
ENCART: Comment réagir à des attaques informatiques de plus en plus fréquentes, aux impacts de plus en plus forts ? Les auteurs dressent l'état des lieux de la menace, rappellent les principes de base d'un dispositif de cybersécurité efficace et partagent de bons conseils pratiques pour se lancer !
L'année 2017 a été riche en attaques informatiques et les premières semaines de 2018 promettent déjà un « grand cru » de la cybersécurité. Du côté des victimes, tout le monde est concerné : des entreprises de tous les secteurs, subissant des pertes de plusieurs millions à centaines de millions de devises ainsi que des indisponibilités de services, jusqu'aux citoyens dont les données privées sont révélées par des fuites record. Le secteur financier reste malheureusement la cible numéro 1, et en particulier les banques, qui offrent de multiples sources de gains directs pour les attaquants. Les plates-formes de paiement (e.g. accès au réseau SWIFT), la banque en ligne ou encore les distributeurs automatiques de billets permettent de rentabiliser plus rapidement le coût de l'attaque, en dérobant directement de l'argent - les attaquants informatiques, comme les entreprises, surveillent leur retour sur investissement !
Au-delà de gains financiers directs, les attaquants et leurs motivations peuvent être variés :
on y retrouve notamment l'acteur isolé, souvent labellisé « script kiddie » en référence à son (potentiel) jeune âge, profitant de son temps libre pour parcourir Internet pour apprendre et obtenir les moyens d'une attaque, « pour la gloire » ou « parce qu'il peut le faire » ; viennent ensuite les groupes criminels organisés, pour leurs actes de protestation numérique (hacktivisme), par exemple en réaction à une décision politique ou économique déplaisante - ou plus directement pour des « cambriolages électroniques » d'institutions financières comme évoqué précédemment ; enfin, les acteurs « étatiques », pour des raisons politiques - comme la perturbation des élections américaines ou de la sortie du film The Interview sur le chef d'État nord-coréen -, idéologiques ou économiques. L'attribution à un groupe étatique est pour autant loin d'être une science exacte : elle est souvent basée sur des ressemblances de code dans les malwares, pouvant tout autant être un indice qu'un hasard ou une diversion...
Du côté des attaques, au-delà des fuites de données et vulnérabilités critiques de plus en plus nombreuses, deux tendances ont émergé ces derniers mois.
La diffusion de ransomwares, utilisant un logiciel malveillant pour prendre en otage votre ordinateur personnel ou système d'information en chiffrant les données stockées, et réclamer une rançon contre la clef de déchiffrement. Certaines variantes devenant « destructrices » quand le paiement de la rançon est impossible, comme dans le cas du malware NotPetya l'été dernier. Dans tous les cas, payer la rançon n'est pas la solution : cela n'offre aucune garantie de restaurer son système, ne protège pas contre une attaque subséquente et incite surtout les attaquants à continuer !
La seconde tendance, plus récente, s'affranchit des problèmes de lourdeur du processus de paiement des ransomwares : les malwares mineurs de cryptomonnaie, une fois déployés, vont détourner la puissance de calcul des victimes pour produire directement de la cryptomonnaie, rémunérant l'attaquant de fait. Une sorte de « planche à billets » installée dans votre garage... à votre insu.
Le sujet cybersécurité est de plus en plus médiatisé, une aubaine pour éveiller les consciences ! Mais également grossir les rangs des attaquants... La menace promet d'être active pendant encore des années. En tant qu'entreprise, quelles mesures de défense pouvez-vous mettre en place pour en limiter les conséquences ?
Répondre à cette menace : un travail de longue haleine
Historiquement, la sécurité informatique se résumait à de la gestion de pare-feu, à savoir autoriser et interdire des connexions réseau. Il n'existait pas d'équipes dédiées à cette activité, laquelle incombait aux équipes d'infrastructure, telle une tâche parmi tant d'autres.
Avec l'évolution des menaces, la cybersécurité a pris de plus en plus d'importance. On est alors passé de simples mesures de protection à un cycle de traitement plus complet, abordant les phases en amont et en aval d'un incident.
Aujourd'hui, les équipes de direction n'ont pas d'autres choix raisonnables que de considérer la cybersécurité comme un enjeu majeur dans leurs feuilles de route. Il ne faut pour autant pas se précipiter. Les « buzz words » attirent, les initiatives se multiplient sans se clôturer, la course aux technologies « dernier cri » est omniprésente, les budgets se consomment très (trop) vite, et pourtant, les fondamentaux ne sont pas maîtrisés.
De qui doit-on se prémunir et que doit-on protéger ?
Il est essentiel de commencer par connaître son adversaire et ses ressources critiques. Pour ce faire, une analyse de risque doit être réalisée en adoptant par exemple l'une des méthodes reconnues : MEHARI (Clusif), EBIOS (ANSSI), ISO, etc. Cette étude permet d'aboutir sur une liste claire des risques encourus par l'entreprise et des ressources internes les plus sensibles. Ces éléments doivent rester au centre des décisions afin d'assurer des efforts intelligents.
Ensuite, une série de mesures classiques mais essentielles peuvent être considérées. Elles forment les « fondations » de la sécurité de son système d'information.
On retient notamment :
prévenir par l'éducation au quotidien de ses utilisateurs, la sensibilisation sur les dernières nouveautés, l'entraînement par des cas d'école concrets et leur évaluation régulière ;continuer à se protéger en limitant les connexions à Internet, en isolant les informations entre elles, en sauvegardant les plus critiques, en limitant leur accès à des besoins essentiels et en désactivant les fonctionnalités inutilisées ;détecter en surveillant les activités sensibles, en sachant identifier un comportement légitime d'un comportement illégitime et en possédant un processus de remontée d'alerte adéquat ; enfin, réagir efficacement en s'entraînant régulièrement dans des conditions réelles, en apprenant les bons réflexes pour les « premiers secours », en ayant des ressources suffisantes et disponibles à tout moment, en sachant communiquer au bon niveau et en impliquant les bons interlocuteurs.
Une fois ces « piliers » en place, on peut alors aborder la suite en allant un cran plus loin. À titre d'exemple, revenons sur trois tendances prometteuses.
Threat Intelligence : comprendre pour mieux agir
La Threat Intelligence - en français, renseignement sur la menace - regroupe des activités de veille technique, technologique et stratégique. Elles permettent de fournir une matière riche en information, permettant de mieux assimiler l'écosystème cybercriminel dans lequel on évolue quotidiennement et d'adapter ses plans d'action en conséquence.
Cyber-résilience : adapter son Plan de continuité d'activité (PCA) aux attaques modernes
Principalement construits autour d'enjeux de disponibilité́, les PCA historiques n'intègrent pas les impacts directs qu'une cyberattaque peut générer aujourd'hui. Puis-je avoir confiance dans mon site de secours en cas d'incident ? Est-il également compromis ? Difficile à dire. Plusieurs solutions sont alors envisageables, à coût variable. Elles forment aujourd'hui de véritables challenges pour les responsables PCA !
Prévention d'urgence : gérer une crise avant la crise
Les cybercriminels étant de plus en plus rapides, il devient aujourd'hui indispensable d'être capable de réagir efficacement à l'annonce d'une nouvelle menace (malware, vulnérabilité, campagne d'attaques, etc.). Si votre voisin vient d'être touché, il se pourrait bien que vous soyez le prochain sur la liste. Il faut alors se mettre immédiatement en ordre de marche : connaître le périmètre impacté, dresser les options de traitement envisageables, appliquer les patchs de sécurité si disponibles, assurer les sauvegardes, surveiller constamment pour lever l'alerte au bon moment, etc. Bref, une crise avant la crise ! Nous pouvons d'ailleurs citer de récents exemples avec les découvertes des failles Windows et Intel, ou encore les dernières vagues de ransomwares WannaCry ou NotPetya.
Enjeux réglementaires
Force est de constater qu'une infinité d'initiatives existent pour faire face à cette menace ravageuse. Le secteur réglementaire s'empare également du sujet. De nouvelles réglementations dédiées à la cybersécurité voient le jour, avec notamment la loi de programmation militaire, la directive européenne NIS[1], le RGPD[2] et de multiples réglementations bancaires locales. De ce fait, si certains investissent et font déjà de ce combat un élément clef stratégique, les autres n'auront bientôt plus le choix. Même si ces réglementations sont souvent complexes à interpréter, elles ont a minima le mérite de faire avancer tout le monde dans la bonne direction.
En pratique, par où commencer ?
Au-delà de ce tour d'horizon essentiel mais théorique, quels seraient nos conseils clefs pour vous lancer ? Voici un cocktail d'idées concrètes et applicables à court terme.
Embarquez les bonnes personnes !
Si l'état-major de votre entreprise n'est pas convaincu de l'intérêt de la cybersécurité, inutile d'aller plus loin. Vous devez impérativement les avoir « à bord de votre navire », en sponsor de vos futures initiatives. Il faut éduquer sa direction sur les risques encourus, en illustrant par des cas concrets et en pointant les impacts, notamment financiers et d'image, que ça peut générer.
Pensez « red team » !
Vous ne vous jugez pas ou peu vulnérable ? Vous ne savez pas par quelles actions débuter ? Opter pour une séance de « red team » peut être une solution intéressante. Ce nouveau concept est l'évolution des tests d'intrusion. Il s'agit de donner un objectif précis - l'événement que vous redoutez le plus par exemple - à une équipe d'experts techniques (des attaquants dits « éthiques ») et ils se chargeront de l'atteindre par tous les moyens possibles. Si la mission réussit, ils vous expliqueront alors étape par étape ce qu'ils ont fait. Vous aurez alors entre les mains un cas réel mais sans impact (sensibilisation assurée !) et une série de faiblesses exploitées (premier plan d'action à lancer !).
Mettez vos partenaires sous contrôle !
N'attendez pas que le nombre de tierces parties s'agrandisse avant d'agir. Vos partenaires sont une source non négligeable d'attaque potentielle. Vous devez créer un lien de confiance avec eux. Pour ce faire, vous devez vous assurer de leur respect de vos pratiques sécurité. Mettez en place un processus de sélection intégrant des contraintes de sécurité et intégrez les clauses adéquates à l'ensemble de vos contrats.
Entrainez-vous avant qu'il soit trop tard !
N'attendez pas des impacts irréversibles pour vous rendre compte que vous n'êtes pas prêts à gérer une crise cyber. Organisez des exercices de crise en conditions réelles, et ce régulièrement. Chaque édition doit avoir un objectif précis : tester le rassemblement de la cellule, le passage du mode « alerte » au mode « crise », la communication interne et externe, le plan d'action, la gestion de ressource 24/7, etc. Vous ne vous entraînerez jamais assez pour être prêt le jour J.
Le plus important : faites les choses dans l'ordre !
On ne cessera de le répéter : pensez à vos fondations avant tout ! Ne vous laissez pas tenter par les dernières technologies attractives vous promettant « de tout faire tout seul ». Comme le dit si bien l'ANSSI[3], une « hygiène informatique » est indispensable avant d'aller plus loin.
Security by design
Vous l'aurez compris, la cybersécurité est un sujet dont on n'a pas fini d'entendre parler. À chaque nouvelle avancée technologique, certains sont au rendez-vous pour en exploiter les premières faiblesses à des fins malicieuses. Voitures autonomes, intelligences artificielles, automatisation, dématérialisation en tout genre, cryptomonnaie, tous ces sujets forment une véritable aubaine pour les cybercriminels. Pour éviter des impacts de plus en plus importants, la sécurité devra systématiquement être considérée - et ce de plus en plus tôt - dans les chaînes de conception.
3. Agence nationale de la sécurité des systèmes d'information.
DATE-CHARGEMENT: 9 avril 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Groupe Revue Banque
Tous droits réservés
13 of 500 DOCUMENTS
Banque & Stratégie
13 février 2018
« L'écosystème de la cybersécurité doit se renforcer entre les acteurs de Place »
RUBRIQUE: GESTION DES RISQUES
LONGUEUR: 1777 mots
ENCART: Jan De Blauwe fait un état des lieux de la menace cyber et des réponses qui peuvent être apportées : la plus efficace passe par la mise en commun d'informations sur les incidents auxquels sont exposés les organismes, quels que soient leurs secteurs d'activité.
Quel bilan faites-vous en matière de cyberattaques ?
Les attaques sont de nature très diverse et, pour la plupart, ne sont pas spécifiques au secteur bancaire. Mais le point le plus marquant est l'augmentation de leur ampleur et de leur impact potentiel.
L'année 2017 a été marquée par les « ransomwares », où un pirate s'introduit dans un système d'information pour en chiffrer les données et exige une rançon en échange de la clé de déchiffrement. Ce type d'attaque cible aussi bien les entreprises que les particuliers. Mais 2017 a aussi montré des évolutions inquiétantes, avec l'arrivée de malwares qui n'avaient visiblement pas pour but de générer des revenus, mais de faire des dégâts, de rendre les systèmes indisponibles, avec un impact potentiellement très important en termes de continuité d'activités. Ainsi nous avons vu débarquer WannaCry, puis NotPetya, en mai et juin 2017. En Angleterre, des hôpitaux se sont ainsi retrouvés hors-service pendant plusieurs heures, tandis que le système informatique de grandes entreprises a été paralysé des jours durant. C'est le cas de l'entreprise de fret Maersk, avec comme conséquence des quantités considérables de containers bloqués dans les ports, forçant Maersk à revenir à des processus manuels.
Dans le cas de NotPetya, la source se situait en Ukraine, et l'attaque a ciblé au départ un fournisseur de logiciels comptables en infectant son système de développement : les clients ont à leur tour été touchés en téléchargeant les mises à jour du software. Cela veut dire qu'aujourd'hui une entreprise doit également faire des contrôles auprès de ses fournisseurs, même ceux avec lesquels elle travaille depuis longtemps. Alors même que les grands groupes bancaires ou industriels font de plus en plus appel à des prestataires de services, souvent très intégrés dans leurs activités quotidiennes. Il faut désormais avoir conscience que cette organisation décentralisée, qui apportait de la valeur, devient un vecteur d'attaques.
Comment réagir à cette mutation des attaques ?
Ni l'industrie ni le régulateur ne va accepter le statu quo. Cela a déjà commencé en Belgique, avec un contrôle de cette chaîne de valeur beaucoup plus important que par le passé. Nous nous attendons à ce que la surveillance de la « supply chain » soit encore resserrée, avec des mesures sans doute pas aussi intrusives mais tout de même comparables à celles prises dans l'industrie alimentaire - où tous les acteurs, du producteur aux consommateurs, en passant par les packagers, distributeurs, transporteurs, doivent respecter des règles de contrôles et sont en supervision permanente parce qu'il existe un enjeu de santé publique. Ce sont des précautions également bien connues dans le contexte militaire dont les fournisseurs doivent respecter un cadre de contrôle très strict, qui va certainement aussi inspirer le monde civil.
Parallèlement, certaines entreprises de services réinternalisent les tâches : Google, par exemple, a décidé pour plusieurs raisons, de performance mais aussi de sécurité, de fabriquer son propre hardware comme certaines puces informatiques de son système d'information, pour éviter une éventuelle contamination via les fournisseurs.
Comment peut évoluer, selon vous, la supervision de ce risque cyber ?
La forme que peut prendre cette supervision reste à définir. Les banques européennes sont ancrées dans un cadre de supervision déjà robuste, décliné aujourd'hui au niveau européen. L'EBA est un des acteurs en charge de la supervision du risque lié aux technologies de l'information et communication, afin de s'assurer que ce domaine - y compris la partie cyber - ne pose pas de risques opérationnels trop importants. Il peut s'appuyer pour cela sur deux leviers : le premier est le respect d'une série de règles, le second des missions d'inspection sur site.
Au-delà de la seule supervision et du respect du cadre réglementaire, quelles sont les solutions efficaces pour faire face à cette menace cyber ?
Aujourd'hui, beaucoup d'entreprises essaient encore de répondre de façon assez isolée à cette menace. Mais compte tenu de la capacité de contagion des cybervirus, nous risquons de rater une opportunité collective de mettre en place un système de riposte adapté, parce qu'il y a insuffisamment d'échanges et de collaboration entre les acteurs. L'écosystème de la cybersécurité doit se renforcer entre les acteurs de Place et impliquer tous les secteurs d'activité. La forte culture de la confidentialité de certains acteurs ne doit pas les freiner pour partager l'information autour des cyberattaques. Car il est important que tout le monde puisse comprendre comment est survenue l'attaque, quel type d'actions a pu la stopper, où sont les vulnérabilités, quelles mesures correctrices ont permis de restaurer le SI rapidement, afin de renforcer le dispositif de protection de façon structurelle.
Ainsi, début 2018, Intel, société américaine productrice de processeurs, a fait état d'une vulnérabilité détectée dans son matériel : c'est un acte de courage qui permettra d'éviter des attaques futures. A contrario, aux États-Unis, la National Security Agency avait identifié une vulnérabilité dans un protocole utilisé par Windows, mais elle n'a pas diffusé l'information préférant s'en servir pour mener des missions de renseignement... sauf que l'agence a elle-même été victime d'une fuite de données qui a permis à des pirates de récupérer cette faille et de s'en servir pour le lancement de WannaCry. Il faut faire la part des choses entre préserver un intérêt sectoriel ou national et prendre avantage d'une information, ou servir un intérêt plus important encore, en partageant cette information pour améliorer la cyberprotection.
Existe-t-il des organismes en Belgique pour organiser cet échange d'informations trans-sectoriel ?
En effet, la Cyber Security Coalition, dont je suis actuellement le président, réunit des acteurs venant des secteurs public et privé, ainsi que du monde académique. Nous essayons de créer un environnement dans lequel les spécialistes peuvent établir des relations de confiance avec comme objectif de permettre une fluidité dans leurs échanges d'informations. Cette coalition travaille sur cinq grands axes :
1. le partage d'information : nous organisons des événements et conférences pour que nos membres puissent physiquement se rencontrer ; 2. la sensibilisation des entreprises, grâce à des campagnes de communication, notamment orientées vers les PME pour leur donner les pratiques de base essentielles en matière de protection de leur SI ; 3. un partage d'informations dans un réseau spécifique, équivalent d'un CERT. Nous réunissons toutes les 6 semaines des responsables d'équipes de gestion d'incidents. C'est une démarche très opérationnelle, qui traite le plus souvent non pas des incidents réels, mais des situations à haut risque, où ces responsables ont détecté l'existence d'une certaine vulnérabilité et face à laquelle il leur faut agir ; 4. l'interaction avec le gouvernement, auprès duquel nous essayons de faire des propositions constructives. Par exemple en matière de fraude bancaire, nous sommes limités dans nos actions par les lois de protection de la vie privée, qui nous empêchent de partager de façon aussi simple que nous pourrions le souhaiter des informations liées à un compte bancaire utilisé dans un schéma de fraude : l'idée est de faire en sorte que le fraudeur repéré par un établissement ne tente pas une approche dans une autre banque. D'autres actions portent sur l'éducation et la sensibilisation du grand public, dans lequel l'État a un rôle important à jouer. De façon inverse, nous relayons aussi des campagnes menées par l'État via les canaux de nos membres, par exemple en poussant les messages sur les écrans des distributeurs de billets. Nous avons par exemple relayé l'adresse e-mail mise en place par le Centre for Cyber Security belge vers laquelle les citoyens belges peuvent faire suivre les e-mails suspects. Une équipe spécialisée analyse dans des délais très courts leur contenu et si les suspicions sont confirmées, des actions sont lancées en quelques heures pour bloquer le malware ou l'accès au site frauduleux. C'est un mécanisme réactif dont l'impact est important car il suffit qu'une seule personne réagisse pour que la diffusion de l'e-mail infecté soit interrompue ; 5. la protection des données privées, qui est un axe que nous venons d'ajouter dans le cadre de la mise en oeuvre prochaine du RGPD.
Est-ce que le développement de la banque mobile accroît la vulnérabilité des entités ?
En effet, la surface d'attaque ne fait que grandir. Mais cette tendance existe depuis 20 ans et ne va pas s'arrêter ! Nous avons aussi des moyens devenus beaucoup plus puissants pour gérer ce parc très vaste. La complexité de cette gestion vient moins des volumes en jeu sur les plates-formes et outils que de leur diversité. Avec des processus hautement standardisés, que nous devions mettre à jour 100 ou 1 000 machines identiques ne change guère la charge. Il est également important d'anticiper, en amont, les actions de protection nécessaires, selon un principe de security by design, et d'intégrer plus largement le réflexe sécurité dans la gestion des risques.
Les banques sont aujourd'hui très conscientes de leurs responsabilités dans ce domaine et elles prennent le sujet très au sérieux. Mais c'est aussi une responsabilité partagée : les citoyens particuliers, les clients corporate doivent aussi en assumer leur part. Ce n'est que si chacun se rend compte des précautions à prendre que nous parviendrons ensemble à construire une réponse robuste face à cette menace. D'autant qu'elle est évolutive et qu'il nous faut rester vigilants et réactifs.
Quelles sont les actions particulières mises en place pour favoriser cette prise de conscience ?
Vis-à-vis des clients de détail, les réglementations autour de la protection du consommateur rendent cette prise de conscience plus facile. Pour les corporates, cette responsabilisation peut prendre des formes très diverses, notamment sous l'angle de la pérennité du business. Dans le « cash management », par exemple, cette question revient de manière récurrente chez les trésoriers et tous ceux qui gèrent les moyens de paiement. La communication, l'échange d'information, les conseils que nous pouvons leur apporter dans ce domaine sont particulièrement valorisés. Des initiatives sont également prises pour les PME avec la mise en oeuvre d'ateliers digitaux au niveau local, organisés par la banque pour créer une prise de conscience de la responsabilité personnelle de chacun. Car bien souvent, c'est le maillon humain qui est le plus faible dans la chaîne !
DATE-CHARGEMENT: 9 avril 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Groupe Revue Banque
Tous droits réservés
14 of 500 DOCUMENTS
Challenges.fr
mardi 13 février 2018 5:00 PM GMT
L'Assemble nationale adopte trs largement le projet de loi sur la protection des donnes personnelles
AUTEUR: AFP
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 500 mots
LAssemble nationale a adopt mardi une crasante majorit en premire lecture le projet de loi sur la protection des donnes personnelles, un texte dapplication du droit europen, qui fixe notamment la "majorit numrique" 15 ans.
Elle a t adopte par 505 voix contre 18, avec 24 abstentions, une large adoption releve notamment par la ministre de la Justice Nicole Belloubet sur Twitter. Seuls les Insoumis ont vot contre, les communistes sabstenant.
Cette rvision de la loi fondatrice Informatique et liberts de 1978 est rendue ncessaire par lentre en vigueur le 25 mai du "paquet europen de protection des donnes", qui comprend le Rglement gnral sur la protection des donnes personnelles (RGPD) et une directive applicable aux fichiers pnaux.
Ce nouveau rglement repose sur le droit fondamental que constitue, pour tout Europen, la protection de sa vie prive et de ses donnes personnelles. Il sera applicable lensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors Union europenne (UE).
Except pour les donnes "sensibles" comme les donnes biomtriques, le texte remplace le systme de contrle a priori - avec des dclarations et des autorisations pralables - par un contrle a posteriori.
Les socits dtentrices de donnes seront responsables des informations prives collectes, devront en envisager la protection et seront obliges de prvenir rapidement lautorit comptente - en France, la Commission nationale de linformatique et des liberts (CNIL) - en cas de perte, de vol ou de divulgation, sous peine damendes qui pourront aller jusqu 4 % du chiffre daffaires mondial ou 20 millions deuros.
Les dputs ont par ailleurs fix 15 ans lge partir duquel un mineur peut sinscrire sur des rseaux sociaux sans autorisation parentale. Le rglement europen la fixe 16 ans, ge souhait aussi par le gouvernement, mais autorise les tats-membres labaisser jusqu 13 ans.
"Ce texte rpond une double exigence: simplifier et unifier au niveau europen la rglementation en matire de protection des donnes, tout en maintenant un haut niveau de protection pour les citoyens", sest rjoui le chef de file des dputs LREM, Richard Ferrand, dans un communiqu.
"Il appartiendra aux entreprises de dmontrer quelles ont pris toutes les prcautions de protection des donnes personnelles avec des sanctions importantes en contrepartie", a soulign le dput LR Philippe Gosselin.
"Cette lgislation europenne concilie lvolution technique avec un contrle adapt, proportionn et dissuasif", a pour sa part jug la socialiste Mariette Karman.
"En dpit des avances", comme "les pouvoirs renforcs de la Cnil", "llargissement de laction de groupe" ou "les montants beaucoup plus dissuasifs des amendes", le communiste Stphane Peu a justifi labstention de son groupe par la possibilit davoir "une attitude plus active dans la protection des donnes."
Le LFI Loc Prudhomme a dnonc un texte dbattu "avec empressement", "sans concertation", o les sanctions contre les grandes entreprises restent "ridicules".
DATE-CHARGEMENT: February 14, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2018 Challenges
tous droits réservés
15 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mardi 13 Février 2018
Face au RGPD, les grandes villes tranquilles, les petites fébriles
AUTEUR: Jamal El Hassani
RUBRIQUE: ARTICLES; Services
LONGUEUR: 1367 mots
ENCART: Selon leur taille, les villes françaises ont plus ou moins bien intégré et anticipé les nouvelles obligations imposées par le règlement européen sur la protection des données personnelles.
Les collectivités ne seront pas épargnées par le big bang du RGPD. Le règlement européen sur la protection des données personnelles, voté en 2016, entrera en vigueur le 25 mai 2018. Si l'on a beaucoup parlé de son influence sur les entreprises, les villes, qui organisent de nombreux traitements de données personnelles (transports, e-administration...), devront elles-aussi s'adapter. "Les collectivités sont globalement logées à la même enseigne que l'ensemble des organismes privés", explique Alice de La Mure, qui s'occupe du secteur public au service des correspondants informatique et libertés de la Cnil, l'autorité de protection des données personnelles. "Elles seront concernées par les trois grandes lignes de force du RGPD : le renforcement des droits des personnes, le basculement d'une logique de contrôle a priori vers une logique d'autocontrôle permanent, et le renforcement considérable du niveau des sanctions." Pour les collectivités, les manquements les plus graves seront sanctionnés par des amendes allant jusqu'à 20 millions d'euros.
"On passe d'une obligation de moyens à une obligation de résultat. Nous n'avons plus le droit à l'erreur."
L'un des principaux changements est le principe de l'autocontrôle. Exit la plupart des systèmes de déclaration et de demandes d'autorisation auprès de la Cnil. Les collectivités devront désormais s'assurer par elles-mêmes, en tout circonstance, que leurs traitements de données personnelles respectent la réglementation et garantissent une protection optimale. "On passe d'une obligation de moyens à une obligation de résultat. Nous n'avons plus le droit à l'erreur", résume Patrick Chambet, responsable sécurité des systèmes d'information à la Métropole Nice Côte d'Azur.
Autre principe important : la co-responsabilité. En cas de fuite de données ou de constatation d'un autre dysfonctionnement, la collectivité et le prestataire qui lui fournit un service informatique ne peuvent plus se rejeter la responsabilité l'un sur l'autre. Si le prestataire ne remplit pas ses obligations, la ville est également responsable de ce manquement car elle aurait dû le repérer. La même logique prévaut pour le prestataire, qui acquiert un rôle obligatoire de conseil et d'alerte.
Développement ralenti
Lors du développement de nouveaux services administratifs ou de smart city, les collectivités devront appliquer le principe du "privacy by design". C'est-à-dire prendre en compte la protection de la vie privée dès la conception du projet. Lorsqu'il s'agira de traitements concernant des données considérées comme sensibles (traitements à grande échelle, profilage, traitements automatisés, reconnaissance faciale, personnes vulnérables ...), une étude d'impact devra également être réalisée pour prouver que les risques seront limités. "Jusqu'ici, les projets étaient plutôt réfléchis en termes d'usage en amont et la vie privée venait en aval, lorsque le produit était prêt," explique Tammam Hannouche, responsable des affaires juridiques du Grand Lyon, qui estime que ces obligations rallongent de trois à six mois le temps de développement d'un produit. "Nous allons devoir intégrer ces périodes-là et accepter de ne pas avancer aussi vite."
"Un grand nombre de correspondants informatique et libertés n'avaient ni l'expertise, ni les moyens de réaliser leur mission."
Pour chapeauter la mise en ½uvre de ces nouvelles obligations et être en contact régulier avec la Cnil, les collectivités devront créer un nouveau poste, celui de délégué à la protection des données personnelles (data protection officer, ou DPO). Il remplace le correspondant informatique et libertés (Cil), dont l'emploi était facultatif. En pratique, la plupart des grandes villes s'étaient dotées d'un Cil mais c'était moins le cas dans les petites collectivités. "Il y avait des Cil cosmétiques", précise Alice de La Mure. "Certaines structures en désignaient simplement pour ne plus avoir à faire de déclarations à la Cnil (la loi permet de remplacer ces déclarations par une inscription au registre du Cil, ndlr). Un grand nombre de correspondants n'avaient ni l'expertise, ni les moyens de réaliser leur mission. Désormais, le règlement inclut des obligations de moyens ainsi que d'expertise technique et juridique." Le non-respect de ces modalités concernant le DPO fait d'ailleurs partie des manquements lourdement sanctionnés : jusqu'à 10 millions d'euros d'amende.
Un nouveau job, le DPO
Bernard Charles est l'actuel Cil de la Métropole européenne de Lille (MEL) et deviendra son DPO en mai. Que doit-il faire pour préparer sa collectivité au RGPD ? "Je vais proposer un plan de travail de mise en conformité au comité de direction. Notre première obligation est de parfaire le recensement de l'ensemble des traitements de données que nous effectuons," détaille-t-il. "Je vais donc faire un tour dans l'ensemble des directions et rencontrer chaque service pour vérifier que les traitements ont été déclarés, qu'ils sont conformes à ce qui est déclaré, comment ils pourraient évoluer et que l'ensemble des droits des personnes (notification du traitement, durée de conservation, sécurité des données...) sont respectés."
Les grosses collectivités interrogées par le JDN estiment toutes que le RGPD n'est pas un changement insurmontable, notamment parce que la loi informatique et libertés française offrait déjà un haut niveau de protection des données personnelles. Mais elles reconnaissent qu'une conséquente mise en conformité, ainsi qu'un travail de sensibilisation des équipes (formation, communication interne) est nécessaire. Des inquiétudes subsistent en revanche quant à la capacité des plus petites villes, qui s'y sont pris sur le tard, à être prêtes pour le 25 mai. Plusieurs métropoles ont d'ailleurs reçu des demandes de leurs homologues plus modestes qui souhaitaient que le DPO de la métropole devienne le leur. Mais comme l'explique Tammam Hannouche, il est difficile d'endosser cette responsabilité sans avoir réalisé un inventaire complet de leurs traitements de données, car "le DPO est garant de la fiabilité des systèmes qui sont en place." Impossible donc avant le RGPD. Mais Lyon, comme Lille et Nice, ne ferment pas la porte à une mutualisation future.
La mutualisation au secours des petits
"La Cnil ne lancera pas une chasse aux sorcières le 26 mai au matin."
Consciente du problème, la Cnil a écrit en juillet aux têtes des différents réseaux de petites collectivités, comme l'association des maires de France, l'assemblée des départements de France et les structures départementales de mutualisation des moyens informatique, pour qu'elles informent leurs membres. Une vague de relances auprès des communes qui ne sont pas rapprochées de la Cnil est prévue dans les semaines à venir. Parmi les solutions à disposition de ces communes aux moyens plus modestes : le DPO mutualisé. Le règlement européen permet en effet à des communes de s'associer pour partager le même délégué à la protection des données personnelles. Selon la Cnil, la moitié des structures de mutualisation informatiques en France vont proposer un service de DPO mutualisé. Autre option, avancée par Patrick Chambet, pour de petites communes n'ayant pas besoin d'un poste à temps plein : le recours à des services de DPO externes, proposés par des entreprises, comme ActeCil, ou des cabinets tels qu'Haas Avocats.
Que les communes qui ne seront pas prêtes à l'entrée vigueur du RGPD se rassurent : "Il ne faut pas voir cette date du 25 mai comme un couperet", rappelle Alice de La Mure. "La Cnil est consciente de la marche à gravir. Nous n'allons pas lancer une chasse aux sorcières le 26 mai au matin. Ce qui compte, c'est que les villes nous montrent qu'une démarche a été engagée." D'autant qu'un certain nombre d'inconnues demeurent, puisque des dizaines de dispositions du RGPD renvoient au droit national. Or la nouvelle loi informatique et liberté est toujours en cours d'examen au Parlement. Il n'y a pas que les petites villes qui prennent leur temps.
Et aussi Smart city : où sont les villes intelligentes en France
25 communes, métropoles et communautés d'agglomération françaises développent des services intelligents. Voici ce qu'elles font et qui pilote leurs projets.
DATE-CHARGEMENT: 13 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2018 Benchmark Group
Tous droits réservés
16 of 500 DOCUMENTS
La Tribune
Mardi 13 Février 2018
La France peut-elle devenir un leader de l'IA face aux Gafam et aux BATX ?
AUTEUR: Patrick Cappelli
RUBRIQUE: NUMÉRIQUE; Pg. 53
LONGUEUR: 1182 mots
ENCART: La France peut-elle devenir un leader mondial de l'intelligence artificielle ? Pour la vingtaine d'intervenants réunis jeudi 8 février lors de la première Nuit de l'IA, c'est possible. À condition d'assouplir certaines barrières administratives et de convaincre le grand public.
Une salle pleine et beaucoup de gens debout. La Nuit de l'lA qui a eu lieu jeudi 8 février au Palais de Tokyo a réussi son pari malgré des conditions météo difficiles : réunir l'écosystème français de l'intelligence artificielle, qui sera sans conteste le sujet chaud de 2018. Les organisateurs, l'agence Artefact et l'association France is AI (soutenue par France Digitale), veulent faire de la France un hub mondial de cet ensemble de technologies qui, selon le Forum de Davos, constitue le moteur de la quatrième Révolution Industrielle. Un objectif pour le moins ambitieux, vu l'avance prise par les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et IBM, et les investissements considérables programmés par le gouvernement chinois (50 milliards de dollars d'ici 2025) et les BATX (Baidu, Alibaba, Tencent, Xiaomi). Pour Damien Gromier, président de France is AI, « l'écosystème français de l'intelligence artificielle existe, mais il faut le rendre plus visible », grâce par exemple à une cartographie qui met en valeur les 280 startups, les 100 laboratoires de recherche publics et privés et les diverses communautés qui travaillent sur des projets liés à l'IA. Et selon Jean-David Chamboredon, coprésident de France Digitale et investisseur avec le fonds ISAI, il faut jouer collectif et « lever le pied sur le RGPD (1), qui, sous couvert de protection des consommateurs, fait le jeu des GAFA ». Pour ce zélateur de l'entrepreneuriat, si la messe est dite concernant l'exploitation des datas consommateurs - les GAFA ont déjà gagné - il reste des niches (mobilité, santé, énergie, sécurité) pour lesquelles le jeu reste ouvert pour les entreprises françaises.
Le RGPD, cadeau aux GAFAM ? Cette manifestation a aussi réussi un exploit : faire prononcer un discours positif par le docteur Laurent Alexandre (fondateur de DNAVision et actionnaire minoritaire de la Tribune) sur les politiques français et les instances européennes en matière d'IA, lui qui a plutôt l'habitude de les juger sévèrement.
« Il se passe quelque chose. L'État commence à comprendre qu'il faut cesser de changer les lois sans arrêt et d'essayer de fabriquer un Monopoly industriel en subventionnant les canards boiteux. Même à Bruxelles, des gens se rendent compte de l'absurdité du RGPD et de la directive e-privacy, qui sont des cadeaux faits aux GAFAM et risquent de tuer l'écosystème ». L'auteur de la « Guerre des Intelligences » (JC Lattes) salue l'annonce par Cédric Villani d'un investissement de 30 milliards d'euros dans l'IA à l'échelle européenne, mais il estime que cette somme devrait être plutôt de 200 milliards.
« L'IA a besoin de temps long : il faudra des années et des milliers de sociétés pour créer des champions européens. Tencent (géant de l'Internet chinois), c'est 250 fois OVH (leader européen du cloud) ! » rappelle Laurent Alexandre, pour qui l'IA nécessite d'énormes masses de data, et donc une réglementation plus souple sur leur usage. Illustration avec la startup Cardiologs. Pour créer sa base de données de 700.000 ECG (électro cardiogrammes), la startup a dû aller se fournir en data aux États-Unis, en Chine et en Inde.
« La France ne peut être compétitive dans le domaine de la santé en matière d'IA, car l'accès aux données est impossible. Donc le futur leader de ce secteur sera certainement américain » regrette Yann Fleureau, fondateur de Cardiologs. Rassurer les Français Malgré ses réserves, Laurent Alexandre voit apparaître « une fenêtre d'opportunité pour l'IA française, grâce à un écosystème dynamique et un gouvernement qui veut avancer ». Le secrétaire d'État chargé du Numérique, Mounir Mahjoubi était présent pour présenter la vision de l'État sur l'intelligence artificielle. Pour le ministre, il faut trouver un équilibre entre performance et humanité :
« beaucoup de Français ont encore peur de l'IA. Ils ne sont qu'un tiers à la voir positivement, contre 80% en Chine. Et 20% de nos concitoyens ne savent pas utiliser une interface numérique. Ceux-là doivent être notre priorité ». Ce jeudi 8, l'Assemblée Nationale a débattu du futur RGPD, et selon le Secrétaire d'État, les députés sont inquiets et prêts à interdire tout usage des données personnelles de santé, énergétiques, etc.
« J'ai entendu de la peur. La condition absolue est donc de susciter un engagement autour de l'IA, qui présente de nombreuses opportunités, et ce dès le plus jeune âge » a conclu Mounir Mahjoubi. Une des manières de rassurer le grand public est d'augmenter la sécurisation des données utilisées par les algorithmes des IA. C'est l'objectif de Dathena, fondée par Christopher Muffat, venu spécialement de Singapour pour présenter sa société. Embauché en 2015 par HSBC Suisse en pleine affaire des Swiss Leaks (blanchiment de fraude fiscale, procédure juridique toujours en cours, Ndlr), il décide de trouver une méthode simple pour mieux organiser les données. La troisième vague de l'IA Après cinq ans de R&D, Dathena propose une solution à base de traitement naturel du langage et de machine learning pour retrouver, auditer et organiser ses datas, et ainsi aider les sociétés à se mettre en conformité avec le RGPD. Pour que l'IA française compte au plan mondial, il faudra également produire des talents. Or, selon Bernard Ourghanlian, CTO de Microsoft France, seuls 1087 data scientists ont été diplômés en 2016, très loin des besoins évalués par Lionel Touati, Cloud Platform Sales Engineer chez Google, a un million de data scientist et 21 millions de développeurs à l'échelle mondiale. La France est pourtant capable d'engendrer des champions mondiaux, comme elle l'a prouvé avec Aldebaran et ses robots Pepper et NAO, racheté par le japonais Softbank. Bruno Maisonnier, fondateur d'Aldebaran, a présenté son nouveau projet Another Brain, qui veut dépasser les réseaux de neurones et le deep learning pour surfer sur la troisième vague de l'IA avec des « circuits intégrés d'IA bio inspirés pour un apprentissage autonome et non supervisé ».
« Certains expliquent qu'il faudra des années pour atteindre cette troisième vague. Nous disons que nous le ferons d'ici vingt mois » affirme Bruno Maisonnier, qui a levé 10 millions d'euros et vise les marchés de l'IoT, de la robotique, de la défense et des voitures autonomes. Finalement, l'IA du futur pourrait bien être made in France. --- (1) Le Règlement Général pour la Protection des Données entrera en vigueur le 25 mai prochain. Il instaure de nouvelles obligations pour toute entité qui gère des volumes massifs de données personnelles. La directive e-privacy, toujours en discussion, traite du consentement des internautes à recevoir des cookies ______ ENTRETIEN AVEC... MOUNIR MAHJOUBI, Secrétaire d'État auprès du Premier ministre chargé du Numérique
JEAN-DAVID CHAMBOREDON, co-Président de France Digitale et CEO de ISAI
VINCENT LUCIANI, Artefact Créateur de AI Night 2018
« Beaucoup de Français ont encore peur de l'IA. Ils ne sont qu'un tiers à la voir positivement, contre 80% en Chine. Et 20% de nos concitoyens ne savent pas utiliser une interface numérique. Ceux-là doivent être notre priorité ». (920547.png)
DATE-CHARGEMENT: 12 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
17 of 500 DOCUMENTS
Le Figaro Online
mardi 13 février 2018 07:06 PM GMT
La justice allemande condamne Facebook pour des conditions d'utilisation
AUTEUR: Ingrid Vergara; ivergara@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 705 mots
ORIGINE-DEPECHE: Allemagne
ENCART: Un tribunal a jugé que le réseau social utilise les données de ses utilisateurs de manière illégale.
Facebook perd une nouvelle manche judiciaire en Allemagne. Un tribunal régional de Berlin a condamné le groupe à modifier une partie de ses conditions d'utilisation jugées contraire à la loi allemande sur la protection des données personnelles. Le géant américain doit mettre ses conditions en conformité avec la législation sous peine de se voir infliger une amende pouvant aller jusqu'à 250.000 euros pour chaque infraction constatée. Cette décision a été rendue le 16 janvier, mais n'a été portée à la connaissance du public que le 12 février.
Dans ce combat, Facebook est face à la Fédération allemande des organisations de consommateurs (VZBV), qui a saisi la justice sur ce point en 2015. Le VZBV appuyait sa plainte sur la loi fédérale allemande de protection des données. Cette dernière stipule que, pour obtenir le consentement d'un consommateur, les sociétés technologiques doivent être très claires sur la nature, l'étendue et le but dans lequel elles vont utiliser ces données. Or, comme le dénonçaient les associations de consommateurs, le tribunal a estimé que Facebook n'avait pas assez attiré l'attention des 30 millions d'utilisateurs allemands sur des options précochées par défaut dans les paramètres de confidentialité. Parmi elles, l'activation par défaut de l'option de partage de la géolocalisation d'un utilisateur dans une discussion sur Facebook Messenger, qui permet à son interlocuteur de savoir où se trouve celui qui lui écrit. Ou encore celle qui permet à des moteurs de recherche comme Google de proposer un lien vers un profil d'utilisateur.
Au total, les magistrats auraient censuré huit clauses des conditions générales. «Facebook cache les paramètres par défaut qui ne sont pas respectueux de la vie privée dans son centre de confidentialité et ne fournit pas suffisamment d'informations à ce sujet lorsque les utilisateurs s'enregistrent», expliquait Heiko Duenkel, le responsable des contentieux à la VZVB.
» LIRE AUSSI - Les règles de modération de Facebook révélées dans la presse
Facebook a fait appel de ce jugement. Il se défend en expliquant avoir déjà modifié de façon importante ses paramètres en matière de protection des données depuis le début de la procédure. «Nous travaillons dur afin de nous assurer que nos conditions d'utilisation sont claires et faciles à comprendre, et que les services offerts par Facebook sont pleinement conformes aux lois», a répondu un porte-parole de Facebook. Ce dernier avance aussi que d'autres changements vont arriver avec l'entrée en vigueur, le 25 mai prochain, du règlement européen sur la protection des données personnelles (RGPD). Le 24 janvier, Sheryl Sandberg, la numéro 2 de Facebook, annonçait des changements majeurs dans l'année à venir afin de pouvoir se mettre en conformité avec la nouvelle donne européenne. «Nous allons déployer un nouveau centre de confidentialité à l'échelle mondiale qui mettra les principaux paramètres de confidentialité de Facebook en un seul endroit et facilitera grandement la gestion de leurs données par les utilisateurs», a-t-elle déclaré à Bruxelles.
L'Allemagne aux avant-postes
En Allemagne,Facebook est également sous le coup d'une enquête de l'autorité de la concurrence. Celle-ci doit rendre ses conclusions définitives à l'été prochain, mais lui reproche d'abuser de sa position de leader en faisant dépendre l'utilisation de son service à la collecte de certaines données.
L'Allemagne est depuis plusieurs années aux avant-postes sur les questions de protection des données des utilisateurs. L'an dernier, la cour administrative de Hambourg avait confirmé l'interdiction, prononcée par l'autorité de la concurrence allemande en septembre 2016, de partage des données entre l'application de messagerie WhatsApp et sa maison mère Facebook. Là encore, la Cnil allemande avait jugé à l'époque que Facebook procédait à cette pratique sans vraiment solliciter l'accord de ses utilisateurs, et avait ordonné d'arrêter immédiatement cette importation. Elle avait été soutenue par l'ensemble des régulateurs de données européens, le G29. En France, Facebook est aussi sous le coup d'une mise en demeure de la Cnil sur ce sujet. En décembre, elle a donné trois mois à l'entreprise américaine pour s'y conformer.
DATE-CHARGEMENT: 13 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Figaro
Tous droits réservés
18 of 500 DOCUMENTS
Marketing
13 février 2018
Edition 1
Prenez garde à votre garde rapprochée
RUBRIQUE: EXPERTISE; Pg. 54,56
LONGUEUR: 608 mots
ENCART: Pour être en conformité avec le Règlement sur la protection des données personnelles (RGPD), les entreprises devront nommer un DPO. Quelles missions lui confier ? Quel profil préférer ? Et comment l'intégrer dans l'organigramme ?
? Le gardien des données. C'est ainsi qu'est souvent qualifiée la fonction de data protection officer (DPO), en charge du respect du Règlement sur la protection des données personnelles (RGPD) dans les entreprises.
Son rôle Nouvelle appellation du CIL, il a avant tout un rôle de conseil. En clair, c'est le chef d'orchestre de la mise en conformité. Sa mission consiste à s'assurer que l'entreprise respecte la loi lorsqu'elle fait usage des données. À ce titre, il a un rôle d'évangélisateur au sein de l'entreprise. Il est donc amené à travailler avec les différentes directions métier. Il les accompagne et les conseille dans l'usage qu'elles font des data et émet des préconisations, voire propose des solutions alternatives respectueuses de la loi. Enfin, il a un devoir d'alerte auprès de la direction générale en cas de man-quement constaté. «Nous avons un rôle de sensibilisation en interne sur la protection des données personnelles, résume Nicolas Chagny, DPO de Makheia Group qui intervenait lors de la matinée "Données et RGPD" organisée par Coheris et l'AFRC. Mais, également, de documentation des actions et de gestion d'éventuels problèmes.» L'organigramme Le DPO peut être soit intégré dans l'entreprise, soit travailler à temps partagé pour plusieurs entités, soit faire l'objet d'un contrat de service. Pour mener à bien sa mission, il doit savoir convaincre, diffuser une culture du bon usage de la donnée et surtout changer les habitudes. Doté d'une solide culture juridique et informatique, il ne doit pas avoir peur de gérer des situations tendues, quand ses préconisations vont à l'encontre des pratiques de l'entreprise. Sur le plan Comment bien choisir son DPO ? hiérarchique, il rapporte directement à la direction générale de l'entreprise. Enfin, de par le caractère sensible et stratégique de sa mission, le Règlement européen prévoit que "le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions". À noter, l'Association française des correspondants aux données personnelles (AFCDP) demande que soit ménagée une "clause du grand-père" qui permettrait aux CIL qui répondent aux nouvelles exigences d'être confirmés dans leur fonction en tant que DPO.
Quel profil recruter? Il existe un certain nombre de formations diplômantes, parmi lesquelles: - Le Mastère "Management et protection des données à caractère personnel" de l'Isep; - La formation "Administration de bases de données", dispensée par le Cnam; - Le Mastère "Sécurité de l'information et des systèmes" de l'ESIEA; - Le diplôme universitaire "DPO/CIL", de l'Université de Franche-Comté; - Le diplôme "Correspondant informatique et libertés", de l'Université de Paris-Nanterre.
Pour quelle rémunération ? Le métier étant récent en France, il est difficile de donner une grille de rémunération. Toutefois, selon l'AFCDP, les DPO gagnent, en moyenne, entre 2 500 euros et 4 000 euros bruts par mois. Mais, « il ne s'agit pas forcément d'un rôle à plein temps», fait part Nicolas Chagny, qui consacre 20 % de son temps à sa mission de DPO et 80 % à son poste de dg adjoint data & digital services de Makheia Group. Il est à noter que le DPO peut être externalisé. Le métier a de l'avenir: 80000 postes de DPO sont à pourvoir en 2018, a annoncé Isabelle Falque-Pierrotin, présidente de la CNIL devant une assemblée de l'AFCDP. ?
2 500 (EURO) Salaire minimum d'un DPO selon l'AFCDP
. Nommer votre DPO est une obligation du RGPD. . Nouveau CIL, il est le chef d'orchestre de la mise en conformité.
. À son rôle de sensibilisation s'ajoute une mission d'alerte.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2018 Marketing
tous droits réservés
19 of 500 DOCUMENTS
Marketing
13 février 2018
Edition 1
Avec Bescherelle, il n'IA plus de fautes Un guichet unique pour piloter la communication locale des marques et enseignes en réseau Viktor & Rolf reprend du (Secret) service
AUTEUR: FLORIANE SALGUES AMÉLIE RIBEROLLE
RUBRIQUE: INSIGHTS; Pg. 22,23,24,25
LONGUEUR: 2327 mots
ENCART: La maison de couture, qui s'est lancée avec L'Oréal Luxe dans le parfum en 2002, disposait d'un joli outil d'e-CRM avec son programme de fidélité "Secret service". En restructurant sa data, elle s'autorise de nouveaux chantiers tout en conservantune relation particulière avec ses clients fans.
Bescherelle fait le grand saut dans la modernité en lançant "Mon Coach Bescherelle", une application mobile basée sur l'IA pour dédramatiser l'orthographe. FLORIANE SALGUES w La marque référente de la langue française, bien connue pour ses ouvrages sur l'orthographe, la grammaire et la conjugaison, a décidé de se réinventer. Bescherelle a ainsi lancé, courant janvier 2018, une application mobile... nourrie à l'intelligence artificielle (IA). L'ambition de ce programme, nommé "Mon Coach Bescherelle", est grande : il ne s'agit rien de moins, pour la marque des éditions Hatier, que de "révolutionner l'apprentissage de l'orthographe". « Nous construisons ce projet depuis deux ans et demi, témoigne Célia Rosentraub, directrice générale des Éditions Hatier. Nous avons fait le choix de nous appuyer sur la technologie d'adaptive learning de la start-up américaine Knewton pour offrir aux utilisateurs un parcours pédagogique personnalisé, dont la difficulté des contenus s'adapte en temps réel aux réponses données. » 5 000 exercices sont ainsi répartis par niveau de difficulté : si l'utilisateur échoue sur une activité, le moteur d'IA le renverra sur un autre exercice, des fiches de cours ou, encore, une vidéo.
Des efforts récompensés Accompagnées par l'agence SensioGrey dans la construction du business model, des études consommateurs, de l'ergonomie et du design du service, mais aussi du plan de lancement, les Éditions Hatier ont fait le choix d'une application mobile et de sessions d'entraînement de 10 à 15 minutes maximum. « L'app mobile nous paraît davantage pertinente car elle offre la possibilité à l'usager d'utiliser les temps morts de son quotidien pour s'entraîner où et quand il le souhaite », explique Caroline Wahl, directrice de clientèle de SensioGrey, qui a validé cette intuition par un focus group. Pour dédramatiser les fautes d'orthographe, Bescherelle mise sur la gamification et des interfaces conversationnelles. « Nous avons travaillé autour de la notion de coach, avec des récompenses, afin de valoriser les efforts de l'utilisateur sur l'orthographe, la grammaire, le vocabulaire et la rédaction », complète Célia Rosentraub. La directrice générale des Éditions Hatier promet une progression rapide et l'atteinte d'un "bon niveau" en quelques semaines seulement.
La percée dans le B to B Disponible, pour l'instant, uniquement sous iOS, l'application intelligente est en formule freemium. L'utilisateur accède gratuitement à un test d'évaluation de son niveau, puis à quelques exercices adaptés aux résultats, avant de débourser 10 euros par mois s'il souhaite poursuivre l'apprentissage. Déjà positionné "grand public", Bescherelle souhaite désormais adresser le marché B to B pour lequel la marque a identifié une demande croissante des entreprises. « À l'heure du numérique, de plus en plus d'e-mails sont envoyés par les collaborateurs, augmentant en conséquence le potentiel de fautes, constate Célia Rosentraub. Or, les entreprises sont conscientes que ces fautes d'orthographe nuisent à l'image de leur marque. » Particulièrement ciblés par le spécialiste de la langue française, les commerciaux, dont le travail de prospection induit de parler juste - et bien - pour convaincre leurs interlocuteurs. Et l'éditeur n'est pas près de mettre la clé sous la porte : selon une étude réalisée par Bescherelle et SensioGrey, neuf salariés sur dix avouent faire des fautes d'orthographe et 20 % avoir été refusés en entretien ou freinés dans leur carrière pour ce motif. En bonus, Mon Coach Bescherelle offre la possibilité d'attester son niveau, avec deux certifications à l'orthographe s'appuyant sur des algorithmes d'IA issus de la recherche universitaire de Grenoble. r @FLOSALGUES SoLocal Network sera partenaire des «Enseignes de l'année 2018» qui se déroulera le 13 février prochain à l'hôtel Westin Paris - Vendôme. Jean-Charles Brandely, son directeur général, nous présente la solution Bridge, un guichet unique qui concentre l'ensemble de l'offre de SoLocal Network à destination des grandes marques et enseignes.
Pouvez-vous nous présenter en quelques mots SoLocal Network ? SoLocal Network est l'entité de SoLocal Group dédiée aux grandes marques et enseignes qui se distinguent par une forte présence locale. Elle leur propose, via les médias du groupe tels que PagesJaunes et Mappy, mais aussi à travers les partenariats signés avec Google, Facebook, Apple, Bing et Yahoo ! une large gamme d'offres digitales pour améliorer la performance de leur communication en local, au plus près des consommateurs et de l'acte d'achat.
2 000 grands comptes nous font confiance pour traiter des besoins qui se révèlent très spécifiques. Il faut en effet être en capacité d'adresser simultanément le central et le local pour répondre correctement aux objectifs de couverture, de cohérence et d'accompagnement de ces clients.
Vous accélérez dans votre stratégie sur les Réseaux en enrichissant votre platefor me Bridge, dédiée à ces grandes marques et enseignes... Tout à fait... Bridge est une plateforme technologique innovante qui regroupe l'ensemble de l'offre de SoLocal Network. Désormais, à partir d'un seul guichet unique, nos clients pourront piloter leur présence sur les médias de notre groupe et de nos partenaires, avec la possibilité de mettre à jour, en temps réel, les informations pratiques de tout ou partie de leurs points de vente. Sont également accessibles sur Bridge nos solutions de performance qui vont permettre de générer du trafic en magasin via du webto-store ou du retargeting qui consiste à analyser les données de géolocalisation afin de proposer des formats de publicité performants. Bridge se positionne enfin comme une plateforme de gestion et suivi des campagnes publicitaires qui facilite le pilotage des budgets entre les différentes régions et points de vente. En donnant, si besoin, la main aux responsables de magasins qui peuvent gérer leurs propres campagnes avec des contenus spécifiques.
Quels sont les atouts de Bridge pour séduire les grandes marques et enseignes ? Aujourd'hui, 80 % des budgets portent encore sur des supports traditionnels comme l'affichage, la presse, la télévision ou la publicité en boîte aux lettres. Or, nous sommes persuadés que ces grands comptes auraient tout intérêt à digitaliser leur communication afin de coller aux nouveaux usages de leurs clients consommateurs qui ont, eux, adopté massivement Internet et le mobile dans leurs actes d'achats.
Bridge vise ainsi à leur simplifier des processus de communication qui pouvaient se révéler complexes. Sur cette plateforme, nos clients peuvent gérer simultanément leur présence sur PagesJaunes, Google et Facebook, alors qu'avant, trois opérations distinctes étaient nécessaires. Le fait que l'ensemble de notre offre soit regroupé sur un guichet unique va aussi permettre de faciliter les arbitrages, de maintenir une plus grande cohérence entre le réseau et le local, et accessoirement de réaliser des économies. Nous espérons d'ailleurs que cette plateforme Bridge va inciter les grandes marques et enseignes à investir plus dans la communication digitale. ¦ w Il est arrivé il y a un peu plus d'un an chez L'Oréal, avec notamment pour mission de repenser le programme de fidélité de Viktor & Rolf. « Secret service, c'est un dispositif atypique basé sur un système de code, directement sur le packaging qui renvoie à une plateforme en ligne et donne accès à des avantages exclusifs », explique Baptiste Beaumont, responsable CRM et e-commerce chez L'Oréal. Un programme relationnel international innovant chez L'Oréal lancé à l'été 2011 avec l'agence Brand Advocate : « Au-delà de son originalité, il permet de pallier le manque de contrôle de la distribution. » Et de nouer une relation directe avec le client sans passer par les retailers. Une dimension que la marque a fait le choix de ne surtout pas abandonner, bien au contraire : « Il fallait reprendre la main sur cet outil représentant une base de données de 650 000 contacts » souvent très attachés à la marque et à son ADN particulier. Depuis le lancement de sa grenade fleurie Flowerbomb en octobre 2005, suite à un contrat de licence avec L'Oréal, la marque créée par les stylistes néerlandais Viktor Horsting et Rolf Snoeren s'est construit une jolie base de clients fans.
Optimiser sa data Problème, la data était mal structurée.
« Il était difficile d'obtenir des reportings clairs. On s'est dit qu'il fallait travailler sur les bases pour retrouver de la cohérence des données avant d'envisager quoi que ce soit », explique le jeune homme au parcours très orienté data et CRM, dans le luxe mais aussi le tourisme.
Sous son impulsion, la marque a donc fait appel à l'agence de data marketing AID (pour Add Intelligence to Data). « Il fallait de la modestie pour demander de l'aide, mais c'était la bonne démarche pour savoir où on met les pieds », analyse Stéphanie Seray, directrice clientèle chez AID, qui a mené à partir de mars dernier un audit sur cinq axes (data, outils, flux de données, dataviz et programme de fidélité) par interviews des collaborateurs et partenaires censés toucher à la data et analyses des données extraites avec les outils d'audit data propriétaires AID, menées par une équipe de consultants en data marketing et data quality d'AID pendant quatre semaines. Objectif : dérouler l'intégralité de la pelote sur les trois pays constituant plus de la moitié de la data de Viktor & Rolf (France, États-Unis, Grande-Bretagne). « Et on a trouvé un certain nombre de noeuds ! » se souvient l'experte.
Même si la data n'était pas très volumineuse, le premier problème a été qu'aucune information n'était centralisée. « C'est l'étape pas sexy mais ô combien nécessaire de la data quality. Où est l'information ? de quelle qualité est-elle ? » Deuxième surprise, aucune documentation, mais aussi beaucoup de rafistolages. « Une partie des données avait été corrigée de manière maladroite par des non-experts de la donnée. » C'est bien connu, l'enfer est pavé de bonnes intentions. « Le problème, c'est qu'on se retrouve avec des données incohérentes. » Il a fallu toute la minutie des consultants pour envisager de repartir sur des bonnes bases, en toute sérénité.
« Car c'est seulement ensuite qu'on peut construire son programme relationnel », sourit Stéphanie Seray, qui estime que sans cet accompagnement, la marque pouvait aller vers de gros écueils marketing : « Avec des data dans cet état, la relance du programme de fidélité aurait été dévastatrice en termes d'image. C'est non seulement la désertion des clients mais si en plus les gens en parlent sur les réseaux sociaux, c'est la double peine. Même si on fait essentiellement de l'e-mailing ! » Car au-delà des quick wins (civilité, champs de date bien trop nombreux), l'idée de Viktor & Rolf est bien de se projeter sur des chantiers de fond, notamment à l'international. Des perspectives rendues possibles par cette remise à plat, suite à la rédaction d'une documentation après l'été. Les bonnes règles de gestion et de priorisation ont été mises en place et un suivi de la qualité est opéré. « Mais une fois que c'est maîtrisé et qu'on t ravaille avec des données saines, ça roule », estime Stéphanie Seray qui prévoit un doublement des volumes de leurs bases d'ici 12 à 18 mois. Baptiste Beaumont se réjouit également à l'idée de pouvoir mieux valoriser les bons clients, enfin identifiés par leur fréquence d'achat et le montant de leur panier. « Maintenant qu'on a les outils et les données, on va pouvoir se lancer dans la personnalisation, et renforcer encore plus cette dimension VIP initiée par Secret service. » Le tout en conformité avec le RGPD, tant qu'à faire.
À contre-courant et alors ? « On a compris comme tout le monde que la data client, c'était le nerf de la guerre. » Mais pour Baptiste Beaumont, les marques ont beaucoup misé sur les communautés, peut-être un peu trop. « La data n'est pas au service des marques puisqu'elle reste la propriété des réseaux sociaux et reste compliquée à activer. » Et de souligner : « Le CRM ayant un coût d'acquisition initial très faible, on peut ensuite activer cette base comme on le souhaite avec la même qualité de données que sur les réseaux sociaux. Et en renforçant ce lien affectif. Si on a bien travaillé l'e-mail, les actions que l'on mène sont très valorisées. Prenez l'exemple du print : les clients ont aujourd'hui conscience que ça a un coût, ils l'apprécient d'autant plus. On peut faire de belles choses en cohérence avec nos packagings. » Idem pour le sampling qui, pour le coup, permet de mesurer très facilement la conversion. Le Secret service y est intégré et les personnes qui s'inscrivent sont embasées en tant que prospects. L'outil étant désormais optimisé, Baptiste Beaumont s'enthousiasme pour les chantiers de fond de 2018, avec un référentiel client unique plein de promesses : « Mélanger l 'émotionnel et la data. » Et ça sent plutôt bon...r @EMARKETING_FR DÉCRYPTAGE STRUCTURER SA DATA POUR REPRENDRE LA MAIN SUR SON PROGRAMME DE FIDÉLITÉ COMMENT ? Accompagnement par des experts de la data.
Établissement de règles de gestion et de contrôle qualité.
RÉSULTATS Mise en conformité RGPD. Personnalisation des offres. Optimisation de l'emailing et du sampling.
Avec cette application basée sur des algorithmes d'intelligence artificielle, Bescherelle ambitionne de démocratiser l'apprentissage de l'orthographe. Déjà disponible pour le grand public, le programme "Mon Coach Bescherelle" se lance à la conquête du marché B to B.
DÉCRYPTAGE
« Nous utilisons BRIDGE pour la gestion des store locator (pages locales) de nos centres. Cette plateforme technologique très simple d'utilisation nous permet de déployer rapidement des informations essentielles aux internautes sur nos 2290 centres Euromaster dans 17 pays en Europe, avec des volumes de consultations significatifs et générateurs de trafic », souligne Alice Bourseau, Digital Trafic & Acquisition Manager EMEA, Euromaster.
TÉMOIGNAGES
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2018 Marketing
tous droits réservés
20 of 500 DOCUMENTS
Marketing
13 février 2018
Edition 1
Changer le cours de l'Amazon
AUTEUR: CLÉMENT FAGES
RUBRIQUE: COMMENT UN BRICK ET MORTAR PEUT-IL RESTER COMPÉTITIF ?; Pg. 44,45,46,48,49
LONGUEUR: 2904 mots
ENCART: Qui aurait imaginé en 1994 le poids pris par une librairie en ligne du nom d'Amazon.com ? Le petit ruisseau s'est transformé en torrent, apparemment prêt à innonder le monde du retailphysique. Comment les enseignes peuvent-elles réagir ?
w 94 665 millions de dollars de chiffre d'affaires pour l'année fiscale 2016, en hausse de... 19,4 %. Selon le rapport annuel"Global Powers of Retail 2018", présenté par Deloitte en janvier lors du dernier Retail's Big Show de New York, Amazon se place parmi les 50 enseignes mondiales en plus forte croissance l'an dernier, et connaît la plus forte progression d'un top 10 au sein duquel il occupe la sixième place. Au-delà de ces résultats, la firme de Jeff Bezos a marqué ces derniers mois par ses percées en direction du monde physique : développement de ses librairies, au nombre de 13 sur le sol américain, ouverture au public le 21 janvier du magasin concept Amazon Go, et bien sûr rachat pour 13,7 milliards de dollars de l'enseigne alimentaire bio Whole Foods en juin 2017.
FOCUS Les retailers contre-attaquent Pour le rapport "Bricks-and-Mortar retailers fight back, winning strategies to compete with online-only players", dévoilé lors du dernier NRF par une filiale de Mastercard, l'Intelligence Unit de The Economist a interrogé 256 responsables retail des deux côtés de l'Atlantique : 47 % considèrent les e-commerçants comme une concurrence significative, 42 % mentionnant même Amazon comme leur principal rival, quand 37 % jugent cette concurrence modérée.
Le fleuve Amazon sort à nouveau de son lit, cette fois pour inonder les plates-bandes des grandes surfaces alimentaires.
« L'enjeu n'est pas tant de faire face à Amazon, mais de faire face aux attentes des clients, mal ou trop bien éduqués par l'e-commerçant », juge Valérie Piotte, directrice générale adjointe de l'agence Cosmic et experte du retail, pour qui il ne faut pas dramatiser : « L'entreprise a une puissance de frappe phénoménale et a révolutionné le commerce en ligne, certes. Mais rien ne prouve qu'elle sera capable de faire de même en physique. Whole Foods est une superbe enseigne, avec des produits de qualité à des prix élevés. C'est le grand écart avec Amazon, qui veut ainsi allier son efficacité à l'expérience client de l'enseigne. Ils vont devoir trouver cet équilibre. » Le retard de l'ouverture grand public d'Amazon Go, initialement prévue début 2017, vient également tempérer la menace. Mais face à l'entreprise qui dépense 11,8 % de son chiffre d'affaires, soit 16 milliards de dollars en R & D, tout peut aller très vite et les retailers additionnent les initiatives pour se mettre dans le sens de la vague.
Repenser son expérience in store « Amazon se repose sur trois points forts : un service tourné nativement vers l'expérience utilisateur, une marketplace qui offre une importante largeur de gamme et d'énormes capacités logistiques. Enfin, c'est dur pour un retailer de faire vivre son site e-commerce quand l'algorithme de Google favorise la diversité d'une plateforme comme Amazon », liste Jean-Baptiste Bouzige, CEO d'Ekimetrics, cabinet de conseil en stratégie marketing qui travaille avec de nombreux retailers. Dans une étude dévoilée à la NRF, The Economist demande aux responsables sondés quelles sont, selon eux, les forces des e-commerçants. Si le prix est cité en premier, les actions marketing ciblées et nourries à la data ainsi que l'expérience client on et off line arrivent en deuxième et troisième places. Et c'est notamment sur ces deux points que se concentrent la majorité des initiatives des enseignes afin de rester compétitives : investissements sur les canaux digitaux et amélioration du service en magasin via la formation et le conseil.
Après le rachat de Jet.com pour 3 milliards de dollars à l'été 2016, Walmart a ainsi augmenté son salaire minimum afin d'être plus attractif et engageant vis-à-vis de ses employés. Et alors que 43 % des libraires indépendants avaient fermé entre 1995 et 2000 aux États-Unis, leur nombre a augmenté ces dernières années (+35 % entre 2009 et 2015), grâce à l'amélioration de l'offre et surtout l'organisation d'événements en magasin selon une étude d'Harvard. En France, cela se traduit par « de nouveaux concepts, qui vont au-delà de l'expérience en magasin traditionnelle et sont plus dans l'action que la réaction », explique Valérie Piotte en citant la boutique Orange Opéra à Paris, « véritable showroom consacré aux nouvelles technologies », ou une enseigne comme Boulanger, « qui a fait sa mue avec ses Comptoirs sans stock, où l'on essaye les produits avant de se faire livrer dans la foulée ses achats à domicile. Cela permet de monter en puissance sur le conseil et transforme radicalement l'expérience client vis-à-vis des concurrents. » Fin 2017, l'enseigne s'est associée à Instaply pour que les clients et les vendeurs puissent également échanger par SMS et payer par ce biais.
De son côté, Undiz a fait le pari inverse : « Une surface réduite, le même assortiment partout et des magasins digitalisés qui permettent au client de consulter les produits qui ne sont pas en rayon, et surtout l'Undiz Machine, des tubes qui amènent les produits depuis le stock. Le design de l'expérience client est fort et c'est le petit plus qui évite la solution de facilité : Amazon », illustre Jean-Baptiste Bouzige. Autre exemple avec Franprix, qui tente de retourner son image de marque avec un concept comme Noé, axé sur les produits bio et en vrac, avec même « des herbes aromatiques à cueillir soi-même et gratuitement », note Valérie Piotte, qui souligne un vrai changement dans le concept même du magasin, là où d'autres enseignes se sont concentrées sur le développement de l'expérience omnicanale. Également, « 2017 a vu se concrétiser l'enjeu clair de l'omnicanalité, le dernier exemple en date étant le rachat d'André par un pure player comme Spartoo ou la participation de Carrefour dans Showroomprivé. Le modèle du pure player n'est pas le Graal, seul l'omnicanal permet d'offrir une expérience différentiente sur chacun des points de contact », ajoute l'experte.
Privilégier les services omnicanaux Là où The Economic cite l'alignement des prix, l'élargissement de l'offre, les collaborations avec des pure players ou encore la livraison, des enseignes comme Monoprix, Fnac/Darty ou encore The Kooples se distinguent. Trois problématiques très éloignées, trois réponses spécifiques mais un point commun : le pari de l'expérience omnicanale.
2017, une année bien remplie chez Monoprix ! L'enseigne s'est distinguée via plusieurs fonctionnalités omnicanales et a multiplié les coups de com', en parodiant notamment l'annonce d'Amazon Go : "L'idée était de faire un clin d'oeil et de rappeler que Monoprix livre ses clients à domicile depuis plus de 25 ans ! Nous sommes le premier distributeur à garantir la livraison dans les trois heures, en offrant la gratuité aux porteurs de cartes à partir de 50 euros et en proposant le paiement à domicile", avance l'enseigne. « Nous avons une longue expérience de la livraison alimentaire et nous allons encore nous améliorer avec la mise en place de notre partenariat avec l'e-commerçant Ocado, qui va nous permettre de proposer plus de 50 000 références, d'améliorer notre logistique et nos temps de livraison tout en apportant un service de qualité », ajoute Pierre-Marie Desbazeille, directeur marketing client qui revient également sur le lancement du nouveau programme fidélité, dont la promesse est de pouvoir dépenser sa cagnotte tant en caisse que sur le site : « Nous avons repris le programme de A à Z avec la refonte du système de cagnotte l'an passé. En 2018, nous irons plus loin dans l'exploitation des données clients pour pouvoir établir une relation individualisée. » Côté omnicanal, la stratégie de l'enseigne peut se résumer par un « moins de contraintes pour plus de plaisir », avec par exemple le déploiement à grande échelle de la possibilité de laisser son caddie sans passer en caisse, puis de MONOPRIX moins de contraintes pour plus de plaisir . Collaboration avec des pure players.
. Simplification du passage en caisse.
. Relance d'un programme de fidélité.
. Développement du click & collect.
payer chez soi à la livraison de ses courses. « Ces prochains mois, nous allons aussi déployer notre application Monop'easy à l'ensemble de nos magasins Monop'. Elle permet aux clients de scanner leurs produits et de payer depuis l'application. L'objectif est de permettre au client de passer plus de temps dans le magasin sans se préoccuper de l'attente en caisse », commente-t-il. Fin 2016, Monoprix inaugurait le click & collect, puis l'e-réservation mi-2017. « Deux succès sur lesquels nous allons continuer à travailler cette année, en étendant le click & collect à la décoration par exemple, après avoir déployé l'eréservation à tous nos magasins. » L'ensemble de ces services sont rassemblés au sein du Monoprix des Halles à Paris, qui préfigure les futurs magasins de l'enseigne.
Chez Fnac /Darty , on ne s'en cache pas : « Nous sommes en concurrence directe avec Amazon et les e-commerçants, en tant que distributeurs, mais aussi comme carrefours d'audience on line et off line. L'appétit des pure players pour les enseignes physiques nous conforte dans notre choix de privilégier l'omnicanal », débute Simon Ilardi, directeur marketing client des deux enseignes dont le rapprochement permet de mettre chaque Français à moins « d'un quart d'heure d'un de nos magasins, et de faire du click & collect indifféremment entre les deux. » L'enseigne compte rivaliser avec Amazon sur ces points forts, tout en comblant certaines de ses faiblesses, notamment logistiques : avec le lancement du programme Darty + en octobre 2017 qui, comme Fnac +, s'inspire d'Amazon Prime (abonnement annuel de 49 (EURO), éligibilité à la livraison dans la journée, accès au service de Deezer, pass partenaire lancé début 2018 qui permet d'obtenir des réductions chez une cinquantaine d'enseignes), le groupe va plus loin en proposant des créneaux de livraison heure par heure et devant la porte du client, y compris pour le gros électroménager, mais aussi du conseil avec une hotline gratuite apportant une aide technique pour tous les produits, y compris ceux achetés hors du réseau. « Ce sont de vrais leviers de croissance puisque ces programmes créent des ponts entre les deux enseignes qui ne partagent que 25 % de leur clientèle », explique Simon Ilardi, qui met enfin en avant l'autre avantage de ces programmes : « Les achats de nos clients en boutique et leur comportement en ligne nous livrent des infos transactionnelles de grande valeur et nous permettent d'aller plus loin dans la personnalisation des parcours et de l'offre. Ces données ont aussi une grande valeur pour les annonceurs partenaires. » Selon le directeur marketing, les 5 millions de clients qui possèdent la carte Fnac sont à l'origine de deux tiers de son chiffre d'affaires. Un million a souscrit à l'offre Fnac + (lancée un an avant Darty +) et dépense, à l'image des abonnés Prime, deux fois plus qu'un client normal.
Contrairement aux enseignes multimarques comme Fnac /Darty, The Kooples ne considère pas Amazon comme un concurrent, « tant que nous sommes une marque qui maîtrise sa stratégie de distribution et de prix. Nous avons déjà développé notre activité sur des marketplaces comme La Redoute ou Zalando, et le renforcement de cette stratégie est notre priorité pour 2018. Être distribué sur Amazon ne serait pas nuisible à notre business et nous permettrait de faire découvrir nos produits à de nouveaux clients », avance Rocco Ghrenassia, responsable e-commerce et digital in store de l'enseigne. L'activité marketplace, qui pèse aujourd'hui 15 % du chiffre d'affaires, doit doubler d'ici deux ans. Et pas question de réserver certains produits à TheKooples.com ou aux boutiques, alors que l'enseigne a lancé une gamme de sacs et de bijoux (qui doit peser à terme 20 % des ventes, contre 7 % aujourd'hui). Elle renouvelle aussi désormais sa collection tous les mois et non plus tous les semestres. « Il est important de maîtriser sa stratégie d'exclusivités. Il faut gommer les différences entre les canaux et être user centric afin d'augmen-THE KOOPLES, une expérience unifiée autour du produit . Amélioration les capacités de conseil des employés.
. Collaboration avec des pure players.
. Élargissement de la gamme et renouvellement accéléré.. Introduction du sur-mesure.
. Développement du store-to-web.
ter la satisfaction client et donc la fréquence d'achat. C'est dans cette logique que nous avons lancé le click & collect et l'e-reservation. Aussi, nous formons les vendeurs à récupérer plus d'informations sur les clients en caisse et nous les équipons avec des outils comme Early Birds, qui leur permettra de faire des recommandations en fonction de l'historique d'achat ou de la navigation des clients fidèles sur notre site où la solution est déjà implantée. Ce n'est pas une réaction à Amazon, mais un alignement avec les attentes des clients », avance le responsable e-commerce qui mentionne un chiffre d'affaires incrémental de 7 % depuis la mise en place de la solution en ligne. Le responsable livre enfin un dernier enseignement, tiré de l'implantation du site e-commerce de l'enseigne aux États-Unis et qui pèse en faveur de l'omnicanalité : « Nous enregistrons une croissance e-commerce de 60 % sur les marchés où nous sommes présents via nos magasins. » Réconcilier ses data on et offline Monoprix, Darty ou The Kooples, ces trois enseignes ont donné un nouveau sens à leur programme de fidélité en exploitant les données des clients dans l'idée d'améliorer leur connaissance des comportements et des parcours et proposer une expérience personnalisée sur tous les canaux. « Il faut faire évoluer les usages et les services pour passer du transactionnel au relationnel, sortir de la logique promotionnelle pour proposer une expérience de qualité », explique Jean-Baptiste Bouzige, reprenant une formule souvent utilisée par les responsables des trois enseignes en question. « C'est ce que fait une entreprise comme Sephora, qui réalise une grande partie de son chiffre d'affaires grâce aux possesseurs de carte et propose depuis plusieurs années des services innovants comme My Sephora ou Color Profil, soit des conseils et des recommandations de produits personnalisés, directement en magasin. » Aussi, la data est devenue un nouveau levier de croissance pour les enseignes, qui la valorisent auprès des marques voulant mieux connaître leurs acheteurs et améliorer leurs capacités de ciblage. C'est ce que propose Amazon Advertising, dont les revenus publicitaires ont grimpé de 61 % l'an dernier à 3,65 milliards d'euros. Et qui dispose d'une clientèle et d'une largeur de gamme suffisante pour rivaliser ? « Avec leurs millions d'encartés, les grandes surfaces alimentaires sont assises sur un véritable trésor de guerre », indique Valérie Piotte. « Les GSA ont pris du retard sur Amazon dans l'exploitation des données clients et se sont longtemps contentées de monétiser ces données auprès des annonceurs. Il y a aujourd'hui un retournement avec de nouvelles stratégies CRM basées sur le développement de programmes fidélité », assure de son côté Jean-Baptiste Bouzige. C'est ainsi que le CRM onboarding, soit la capacité à mêler données on line et off line pour identifier des profils uniques, est le gros chantier des enseignes alimentaires en ce début d'année.
Carrefour est ainsi en train d'équiper ses magasins avec la solution d'Occi, qui permet, entre autres, de transposer au monde physique les relances de paniers abandonnés, et ainsi de recibler, en ligne, les personnes qui sont venues voir un produit en rayon avec l'intention de l'acheter chez un autre e-commerçant. De son côté, Auchan fait confiance à l'offre Data Shopper de Temelio. « Les enseignes vendent de la publicité physique aux marques dans leurs linéaires et ont besoin de cette data pour aller plus loin sur le digital. De leur côté, les marques PGC qui n'ont pas de base CRM ont besoin de ces informations pour connaître l'impact de leurs investissements publicitaires sur les ventes via les données qui remontent directement des tickets de caisse », explique Nicolas Blandel, CEO de la startup. Pour Nicolas Cassar, CMO de CapitalData, entreprise qui gère la DMP de Franprix, la publicité ciblée doit, à terme, être une alternative « au prospectus, qui n'est pas lu la moitié du temps selon BALmétrie, notamment en zone urbaine. » On peut encore citer le lancement à l'automne dernier de RelevanC par le groupe Casino, ou le repositionnement de Criteo sur le commerce marketing. « L'enjeu, pour 2018, est peut-être plus de se mettre en conformité avec la RGPD que de vouloir rivaliser avec Amazon », note toutefois Valérie Piotte. Mais l'un ne va pas sans l'autre : selon The Economist, 40 % des enseignes qui se considèrent rivales d'Amazon s'équipent afin de tracker l'activité omnicanale de leurs clients, contre 26 % des enseignes qui ne se sentent pas en concurrence avec l'Américain. r @CLEMFAGES
19,4 % de croissance du chiffre d'affaires d"Amazon en 2016.
42 % des enseignes considèrent Amazon comme leur principal rival.
70 % Comme Boulanger, 70 % des enseignes ont amélioré les capacités de conseil de leurs employés.
61 % Comme Monoprix, 60 % des enseignes ont simplifié le passage en caisse.
54 % Comme la Fnac et Darty, 54 % des enseignes ont lancé de nouveaux programmes de fidélité.
68 % Comme The Kooples, 68 % des enseignes ont augmenté la largeur de leur gamme.
40 % Comme Carrefour, Auchan ou Franprix, 40 % des enseignes concurrencées par Amazon investissent dans l'analytics in store et le CRM onboarding.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2018 Marketing
tous droits réservés
21 of 500 DOCUMENTS
L'Obs
13 février 2018
L'Assemblée nationale adopte très largement le projet de loi sur la protection des données personnelles
LONGUEUR: 521 mots
Paris (AFP) - L'Assemblée nationale a adopté mardi à une écrasante majorité en première lecture le projet de loi sur la protection des données personnelles, un texte d'application du droit européen, qui fixe notamment la "majorité numérique" à 15 ans.
Elle a été adoptée par 505 voix contre 18, avec 24 abstentions, une large adoption relevée notamment par la ministre de la Justice Nicole Belloubet sur Twitter. Seuls les Insoumis ont voté contre, les communistes s'abstenant.
Cette révision de la loi fondatrice Informatique et libertés de 1978 est rendue nécessaire par l'entrée en vigueur le 25 mai du "paquet européen de protection des données", qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux.
Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles. Il sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors Union européenne (UE).
Excepté pour les données "sensibles" comme les données biométriques, le texte remplace le système de contrôle a priori - avec des déclarations et des autorisations préalables - par un contrôle a posteriori.
Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente - en France, la Commission nationale de l'informatique et des libertés (CNIL) - en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
Les députés ont par ailleurs fixé à 15 ans l'âge à partir duquel un mineur peut s'inscrire sur des réseaux sociaux sans autorisation parentale. Le règlement européen la fixe à 16 ans, âge souhaité aussi par le gouvernement, mais autorise les États-membres à l'abaisser jusqu'à 13 ans.
"Ce texte répond à une double exigence: simplifier et unifier au niveau européen la réglementation en matière de protection des données, tout en maintenant un haut niveau de protection pour les citoyens", s'est réjoui le chef de file des députés LREM, Richard Ferrand, dans un communiqué.
"Il appartiendra aux entreprises de démontrer qu'elles ont pris toutes les précautions de protection des données personnelles avec des sanctions importantes en contrepartie", a souligné le député LR Philippe Gosselin.
"Cette législation européenne concilie l'évolution technique avec un contrôle adapté, proportionné et dissuasif", a pour sa part jugé la socialiste Mariette Karman.
"En dépit des avancées", comme "les pouvoirs renforcés de la Cnil", "l'élargissement de l'action de groupe" ou "les montants beaucoup plus dissuasifs des amendes", le communiste Stéphane Peu a justifié l'abstention de son groupe par la possibilité d'avoir "une attitude plus active dans la protection des données."
Le LFI Loïc Prudhomme a dénoncé un texte débattu "avec empressement", "sans concertation", où les sanctions contre les grandes entreprises restent "ridicules".
DATE-CHARGEMENT: 13 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Le Monde Interactif
tous droits réservés
22 of 500 DOCUMENTS
Economie Matin
12 février 2018 04:00 AM GMT
Big Data : bilan de l'année 2017 et enjeux à venir en 2018
LONGUEUR: 957 mots
En 2017, les entreprises ont dû faire face à, non seulement, une évolution rapide de leur environnement commercial, mais également à de nouvelles réglementations liées au numérique. La donnée s'est en effet imposée comme la ressource principale des entreprises et son exploitation, à travers l'Intelligence Artificielle (IA), la gouvernance ou le deep learning, est devenue le levier de performance par excellence dont elles disposent. Le bilan de l'année écoulée permet de mieux définir les défis à venir en 2018, comme l'approche agile ou le commerce data-driven. La donnée est devenue en 2017 le principal indicateur de performance des entreprises Un enjeu stratégique majeur La donnée pourrait bien être le plus grand challenge de la décennie.
L'activité commerciale des entreprises génère de plus en plus de données, à mesure que les points de contact avec les clients se multiplient. Pour être réellement efficace, leur exploitation dépend de plusieurs paramètres, parmi lesquels l'exactitude des données et leur fraîcheur. Par ailleurs, ces volumes de données posent des questions de sécurité, dont on ressent davantage l'urgence dans certains domaines, tels que la finance ou la cybersécurité. Les récents déboires de certains grands groupes, dont des données sensibles ont été exposées par inadvertance et d'autres piratées, ont souligné l'importance d'une structure qui encadre le stockage et l'exploitation des données. Cet encadrement s'est manifestée par l'émergence du Chief Data Officer (CDO, directeur des données). Un rôle qui, par sa spécialisation dans la gestion du traitement des données, pourrait bien amplifier l'impact des actions commerciales et accélérer la transformation numérique des entreprises. La data gouvernance, et la réglementation en matière de données (RGPD) répondent aux problématiques posées en 2017. En 2018, ces deux mesures s'imposent davantage comme une nécessité. Un environnement en perpétuelle mutation Confrontées à une évolution de plus en plus rapide du marché, les entreprises doivent se montrer agiles et ingénieuses afin de créer de la valeur autour de la donnée. Créer de la valeur revient à placer la donnée au coeur du projet d'entreprise : en interne, les efforts doivent être réalisés de concert entre les différents postes clés. L'entreprise est également tenue de déterminer son usage des flux de données générés par les canaux spécifiques (réseaux sociaux, moteurs de recherche), et s'en servir comme avantage concurrentiel. Elle doit donc s'appuyer sur les profils particulièrement qualifiés dans l'analyse et l'exploitation des données. Les formations spécialisées dans l'exploitation du Big Data ont d'ailleurs vu le jour. En 2017, la stratégie d'entreprise est donc résolument orientée par la donnée. Un impact direct sur les entreprises, notamment dans le secteur du commerce de biens Si le rachat aux Etats-Unis du géant de l'alimentaire bio (Whole Foods) par Amazon a fait grand bruit, c'est parce que ce rachat concrétise la chute de la barrière déjà ténue entre commerce en ligne et commerce physique. Cette incursion augure d'une révolution dans le commerce de détail. Une révolution dont on peine encore à dessiner les contours. Une chose est sûre cependant : ceux qui en tireront avantage seront ceux qui maîtriseront le mieux l'exploitation de la donnée. La persistance de résistances Malgré tout, certains acteurs du marché demeurent réticents à l'adoption d'une stratégie orientée par la donnée (data-driven). Les raisons peuvent être multiples et tiennent souvent davantage des habitudes ou de la difficulté à adopter une structure transversale. L'évolution se fera de toute manière de façon progressive, notamment dans les grands groupes. Elle n'en est pas moins urgente : les GAFAMI*, et à présent les NATU**, vont contraindre les entreprises à accélérer le rythme. La bonne exploitation de la donnée sera en 2018 la condition sine qua none au succès La démocratisation nécessaire du deep learning et de l'analyse prédictive Le machine learning n'est déjà plus une option. C'est une discipline nécessaire, quand on sait l'impact immense qu'aura l'automatisation des tâches les plus chronophages sur la performance des entreprises. En 2018, la productivité sera directement liée à l'usage de l'intelligence artificielle et donc du machine learning. Dans le domaine de la banque, l'IA permet déjà aux conseillers de disposer plus rapidement des informations relatives à leurs clients. L'analyse prédictive en bénéficie également, puisque le machine learning permettra d'organiser l'information plus rapidement et plus efficacement. Libérés des tâches préalables à l'exercice de leurs compétences, les collaborateurs pourront se consacrer pleinement à leur métier propre. La compétitivité se joue aussi sur ce terrain-là. La réunion des compétences liées à la donnée aux forces commerciales 2018 va certainement concrétiser le lien qui s'établit entre les data analysts et les équipes commerciales. Les données étant de plus en plus disponibles en temps réel, leur analyse a quitté ses quartiers isolés pour devenir plus opérationnelle. De plus, le machine learning ne se suffit pas encore à lui-même, car les modèles d'apprentissage doivent être adaptés à l'évolution du marché. Afin de tirer le meilleur avantage du machine learning et de l'exploitation des données en temps réel, data analysts et commerciaux sont appelés à travailler en synergie. 2017 a poussé les entreprises à être plus à l'écoute des changements rapides occasionnés par le Big Data. En 2018, elles devront prendre les devants plutôt que de suivre les changements, voire initier elles-mêmes les évolutions en se montrant plus innovantes et plus ingénieuses.
DATE-CHARGEMENT: 13 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Economie Matin
Tous droits réservés
23 of 500 DOCUMENTS
Le Temps
lundi 12 février 2018
Ces données qu'on pille avec notre accord
AUTEUR: CATHERINE FRAMMERY
RUBRIQUE: TEMPS FORT; FR; Pg. 3
LONGUEUR: 1056 mots
VIE PRIVÉE Faut-il renoncer à maîtriser la circulation de nos données? Le pistage industriel équivaut à une impossibilité de consentir
Vous avez l'impression d'être espionné sur le Web et personne ne vous croit? Faites le test de Lightbeam sur votre ordinateur. L'application du navigateur Firefox pour internautes paranos permet de visualiser le voyage de vos informations personnelles au fur et à mesure que vous passez d'une page à l'autre, et c'est bluffant. Tentez ce qui suit. Réservez un voyage, vérifiez l'itinéraire sur Google Maps, et prévenez vos amis sur Facebook: vous vous êtes rendu sur trois sites ou applications; mais, avec ses graphes mobiles qui mangent tout l'écran en quelques minutes, Lightbeam vous montre que, en réalité, une centaine de sites partenaires et régies publicitaires sont au courant de votre visite et ont obtenu de nouvelles données sur vous, sans aucun consentement de votre part.
La quantité et la qualité de ces informations transmises malgré vous dépendent bien sûr du degré d'intrusion des sites, de ce que vous-même avez laissé comme traces sur le Web, et de ce qu'on y a dit de vous. C'est au minimum l'adresse IP de votre ordinateur bien sûr, et ce peut être aussi, selon les sites, votre géolocalisation, votre mail, vos centres d'intérêt, votre réseau d'amis, leurs informations sur vous - la palme à Facebook qui, même fermé, aspire tout.
Le trajet de votre souris sur l'écran est traqué, et indique combien de temps vous passez sur telle partie de la page web, sur tel produit - c'est cela, l'économie de l'attention. Testez donc clickclickclick.click. Cette application très ludique, créée par le site Mashable, montre comment chacun de vos mouvements sur un site est observé, analysé, et peut être ensuite utilisé dans des bases de données. Une prodigieuse mine d'informations pour les régies qui vendent du «retargeting» à leurs clients, ce marketing personnalisé qui renvoie sur les pages que vous consultez des publicités sur les produits qui ont semblé vous intéresser, comme ce canapé en cuir vert chez Ikea, cet hôtel sur Booking.com, et qui vont ressurgir au hasard de votre navigation pendant des jours.
Tout cela bien sûr sans que vous n'ayez rien demandé ou accepté. Votre sensation d'être espionné, c'est cela. La surveillance est massive et vos «données», qui ne l'ont jamais été, sont soigneusement collectées, vendues, revendues, classées, et organisées.
«En restant sur ce site, vous acceptez notre politique de cookies»
Les lois en Suisse et dans l'UE exigent pourtant notre consentement à cette récolte inconsciente de données, avec un message du type: «En restant sur ce site, vous acceptez notre politique de cookies, qui nous permettra de vous fournir un meilleur service.» Les cookies, ce sont de petits fichiers texte déposés sur votre ordinateur, qui facilitent la navigation en retenant vos identifiants de connexion par exemple, permettent l'interconnexion avec un réseau social, mais qui pour d'autres peuvent aussi moucharder à des sites tiers quantité d'informations indiscrètes sur votre mode de vie, vos revenus ou vos préférences sexuelles. Alors?
«Trop souvent on dit OK sans lire plus loin, soupire Florence Bettschart, juriste à la Fédération romande des consommateurs. Les conditions particulières de Facebook sont compliquées. Nos collègues britanniques ont calculé que la charte d'utilisation d'iTunes était plus longue que Hamlet!» Autre exemple, la charte des cookies de l'inoffensif Marmitons.org occupe plus de signes qu'une pleine page du Temps. Qui prendra le temps de paramétrer chaque cookie, comme de nombreux sites pourtant le permettent? On clique «J'ai compris» - et on passe. «On ne sait pas où partent nos données, c'est choquant de savoir qu'elles sont vendues. Comme il est souvent indiqué que la société se réserve le droit de modifier ses conditions générales d'utilisation en tout temps, c'est encore plus difficile de se plaindre.»
Un consentement prisonnier
«Le consentement est censé être libre et éclairé, rappelle Sylvain Métille, avocat spécialisé dans la protection des données et blogueur passionnant, mais, pour qu'il soit vraiment libre, il faudrait que je puisse dire non. La réalité, c'est que c'est rarement le cas, sinon on me prive de services devenus presque indispensables.» Sans accepter la charte Google qui annonce que «Nos systèmes automatisés analysent vos contenus (y compris vos e-mails)», plus de Gmail, de Google Maps, de Google Docs. «Le consentement à l'utilisation de vos données intervient de toute façon trop tard, au moment où vous arrivez sur un site il y a déjà un cookie, note aussi François Charlet, autre juriste spécialisé dans la protection des données. «Et voilà comment Google et Facebook en savent beaucoup plus sur mes activités ces dernières années que ma mère...» D'autant que nombre d'internautes acceptent aussi de remplir, cette fois en toute connaissance de cause, des formulaires très intrusifs: «Pourquoi dire si on est chrétien pour louer une voiture? Seules les informations nécessaires à la fourniture du service devraient être obligatoires. J'ai l'impression qu'on profite des gens à une échelle impressionnante.»
Certains sites assurent vouloir vos données non pour vous apporter des offres personnalisées mais à des fins de Big Data, pour établir des algorithmes. Mais même ces collectes anonymisées sont à craindre. En analysant les métadonnées bancaires d'un million de clients, une enquête du MIT publiée dans Science a permis d'en identifier précisément 90%, au bout de... quatre achats seulement. Le récent épisode des bases américaines en Syrie révélées par l'application Strava montre aussi les limites du Big Data anonymisé.
«Par quel étrange renoncement sommes-nous devenus de la chair à algorithmes?» C'est parce que le consentement semble impossible aujourd'hui qu'un collectif de chercheurs en France vient de proposer qu'on monétise nos données, devenues objet commercial. Dans un futur plus immédiat, le RGPD devrait changer la donne (voir ci-dessous).
Toujours cette impression de vous sentir surveillé? D'après une enquête Comparis, c'était le cas de 60,4% des personnes interrogées en janvier 2017.
«Pour que le consentement soit vraiment libre, il faudrait que je puisse dire non»
SYLVAIN MÉTILLE, AVOCAT SPÉCIALISÉ DANS LA PROTECTION DES DONNÉES
DATE-CHARGEMENT: 12 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TPS
Copyright 2018 Le Temps SA
tous droits réservés
24 of 500 DOCUMENTS
Les Echos
lundi 12 février 2018
Weborama veut croire que l'heure du décollage a sonné
AUTEUR: NICOLAS MADELAINE
RUBRIQUE: ARTICLE; 1,3 milliard de profils; Pg. 24 N°. 22633
LONGUEUR: 606 mots
ENCART: Sur le marketing à l'aide de la data, qui pèse les deux tiers de ses revenus, le groupe est sur une tendance de croissance de 30 %.
Weborama, qui se définit comme un leader européen des technologies de data marketing, estime que l'heure du décollage a sonné. Coté en Bourse, le groupe français a publié mercredi dernier un chiffre d'affaires en hausse de 13 %, à 32,7 millions d'euros, ses résultats complets devant être révélés le 22 mars. Cependant, ses dirigeants Alain Lévy, PDG, et Daniel Sfez, directeur délégué, expliquent que, sur son métier d'avenir, la « data stratégie », qui pèse les deux tiers de ses revenus, les revenus ont grimpé de 28 %, à 22,2 millions.
Sur son premier métier, baptisé « ad serving » et consistant à piloter et analyser les campagnes en ligne, la tendance est à la légère décroissance. Si les technologies sont amorties et donc les marges importantes, le marché est figé depuis 2008 avec un Google représentant 85 % du total grâce à DoubleClick, explique Alain Lévy.
1,3 milliard de profils
En revanche, les annonceurs ont de plus en plus besoin de « data marketing », estime le groupe. Les spécialistes de ces métiers - dans ce domaine, Weborama se bat contre des géants mondiaux comme Adobe et Oracle ou des acteurs plus locaux, comme 1000mercis ou Cleverdata - deviennent des acteurs de plus en plus importants dans le planning des achats d'espaces par les marques.
La base de profils de Weborama atteint aujourd'hui 1,3 milliard de gens. le groupe a accru sa base en achetant des acteurs qui la collectent, comme AddThis, qui fait les boîtes de partage de contenus avec Facebook, Twitter, etc. en dessous des articles, par exemple, et récupère de la donnée.
Parallèlement, Weborama « crawle » 1,2 milliard de pages Web et utilise des techniques linguistiques pour les organiser en 220 contenus thématiques. Ce travail permet de créer « un nuage de mots » personnalisé définissant les centres d'intérêt de chacun de ces profils.
Mise à la disposition d'une marque, cette base qualifiée permet de mieux connaître ses acheteurs - Weborama en a la plupart du temps déjà une grande partie - puis d'en trouver d'autres aux profils similaires. Exemple : un vendeur de vêtements en ligne a ainsi pu déterminer ce qui caractérisait ses meilleurs acheteurs (environ 4.000) et en a approché 900.000 autres qui leur ressemblaient, explique la direction de Weborama.
Le gros enjeu pour Weborama est désormais de se développer aux Etats-Unis. Son chiffre d'affaires y est passé l'an dernier de 800.000 euros à 3,5 millions. L'intérêt d'exister outre-Atlantique est notamment d'être mieux valorisé en Bourse : Alain Lévy note qu'une société équivalente à la sienne a été rachetée 14 fois ses ventes par Salesforce, soit 700 millions de dollars.
Bien sûr, Weborama ne pourra se développer que si les autorités ne restreignent pas trop la collecte de données. Le règlement général sur la protection des données (RGPD) va entrer en vigueur bientôt et une directive européenne sur l'ePrivacy est en discussion. Sur le RGPD, Alain Lévy estime que Weborama a pris les devants avec des techniques, notamment la blockchain, certifiant que le consentement de l'Internaute aux cookies a bien été demandé et conservé.
Sur l'ePrivacy, et la possibilité d'exclure les cookies par défaut depuis son navigateur, il note que l'Europe a décalé ce sujet aux conséquences très lourdes. Il ajoute qu'il faut attendre le résultat final, des parades pour l'industrie de la pub en ligne étant sans doute possibles en fonction de ce qui sera adopté.
Voir aussi:
[15/01/2018] Données personnelles : l'Europe ne doit pas se tromper de guerre
Voir aussi:
[08/01/2018] Gaspard Koenig : « Chaque citoyen doit pouvoir vendre ses données personnelles »
DATE-CHARGEMENT: 12 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
25 of 500 DOCUMENTS
Le Cercle
dimanche 11 février 2018
Quel lien pourrions-nous faire entre le RGPD et la prévention santé au travail ?
AUTEUR: Catherine Bricot
RUBRIQUE: ARTICLE
LONGUEUR: 1233 mots
ENCART: Les entreprises sont toutes en ébullition pour se préparer à "l'entrée en vigueur du RGPD" le 25 mai prochain. De son côté, le Document Unique d'Évaluation des Risques Professionnels, rendu obligatoire dans l'ensemble des États membres de l'UE par une directive de 1989 a connu une trajectoire bien différente. Je vous propose ici de comparer les 2 approches de ces deux actes juridiques européens.
Le Règlement européen sur la gestion des données à caractère personnel ou RGPD, est le règlement européen n° 2016/679 voté au parlement européen le 14 avril 2016. Il a été publié le 4 mai 2016 dans le Journal officiel de l'Union européenne et est entré en vigueur le vingtième jour suivant celui de sa publication, soit le 24 mai 2016. Le RGPD prévoyait un délai de mise en conformité de 2 ans pour les traitements déjà existants. Ce laps de temps laissé aux entreprises pour faire les développements et aménagements nécessaires s'achèvera donc le 24 mai 2018.
Ce règlement sera exécutoire à partir du 25 mai 2018 et sera "obligatoire dans tous ses éléments et directement applicable dans tout État membre". L'application du RGPD et des sanctions pour non-respect du règlement se fera à compter du 25 mai 2018.
Les règlements européens sont des actes juridiques de portée générale "directement applicables dans tout État membre" de l'UE et "obligatoires" dans l'ensemble de leurs composants.
Côté prévention des risques professionnels, la directive-cadre n° 89/391/CEE du conseil des Communautés européennes du 12 juin 1989 définit les principes fondamentaux de la protection des travailleurs. Elle vise à promouvoir l'amélioration de la santé et de la sécurité des travailleurs à leur poste de travail. C'est cette directive qui a imposé la création d'un document d'évaluation des risques professionnels dans un document unique (DUER).
Les directives européennes sont des actes juridiques ayant pour objectif d'harmoniser la législation dans tous les États membres de l'UE. Les directives ne s'appliquent pas directement. Les États membres doivent donc transposer cette directive dans leur droit national. Ils sont libres de choisir les moyens et les dispositions légales pour parvenir à l'objectif fixé par la directive dans le délai accordé.
Le mode d'application de ces actes juridiques différe, les délais d'application sont différents, le règlement semble plus contraignant que la directive.
La plupart des dispositions du RGPD sont déjà présentes dans la loi informatique et liberté de janvier 1978. Nous pouvons citer par exemple : les modalités d'exercice du droit d'accès à ses données personnelles, la création d'un registre des traitements, la limitation de certains traitements, l'obligation d'informer les individus en cas de violation de leurs données, le consentement de tout individu avant le traitement de ses données personnelles, la transparence dans l'usage des données personnelles, transferts des données, ou encore l'anonymisation des données.
Il est à noter qu'il en est de même des principales dispositions de la directive de 1989. En effet, elles étaient déjà présentes dans le Code du travail français. La nouveauté de ce texte est d'aborder la santé et la sécurité en appliquant un modèle de gestion des risques et en accordant la priorité aux actions de préventions. Cette directive place comme priorité l'évaluation des risques dès lors que les risques n'ont pas pu être évités à la source.
La directive européenne n ° 89/391/CEE a été introduite pour la première fois dans le droit français en 1991. S'en est suivi une période de latence de plusieurs années, puisqu'il a fallu plus de 10 ans à la France pour publier le décret d'application de la loi de 1991 sur l'évaluation des risques professionnels. Le document unique d'évaluation des risques (DU ou DUER) a finalement été créé par le décret n° 2001-1016 publié le 5 novembre 2001.
Ce document offre un aspect pratique en regroupant tous les risques dans un seul document. Le décret formalise l'évaluation des risques, la loi française obligeait à faire cette évaluation des risques, mais rien n'obligeait l'employeur à la formaliser dans un registre. Le document unique vient combler cette lacune.
Le RGPD évite les écueils des délais d'adaptation dans le droit de chaque état, puisqu'il est applicable immédiatement après sa publication pour tous les états de l'Union. Les entreprises françaises doivent donc appliquer le RGPD pour les nouveaux traitements comportant des données à caractère personnel depuis le 24 mai 2016.
Le fait de ne pas transcrire (l'absence du document d'évaluation des risques) ou de ne pas mettre à jour les résultats de l'évaluation des risques professionnels, dans les conditions prévues aux articles R. 4121-1 et R. 4121-2, est puni de l'amende prévue par les contraventions de cinquième classe.
En cas de contrôle de l'inspection du travail, la non-présentation du DUER peut être sanctionnée d'une amende de 1500 (EURO) par unité de travail et est majorée en cas de récidive (article 4741-3 du Code du travail). L'amende est assez faible et peu dissuasive pour les employeurs qui ne respecteraient pas la loi.
Côté RGPD, les amendes sont au contraire extrêmement dissuasives, puisqu'elles peuvent atteindre un montant pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial d'une entreprise. Comment expliquer une telle différence dans le montant des amendes ? La prévention des risques professionnels n'est-elle pas aussi importante que la gestion des données personnelles des citoyens de l'Union européenne ?
Pourquoi obliger le responsable d'un traitement à mettre en oeuvre dès la conception "les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement" soient traitées ? (principe de "Privacy By Design".)
Mais ne pas l'obliger en matière de santé au travail ? Ne faudrait-il pas obliger les entreprises à faire appel à des préventeurs et des ergonomes avant chaque réorganisation/création d'entreprise ? La santé des citoyens européens ne mériterait-elle pas que l'on mette en place dans chaque entreprise des mesures garantissant le bien-être et la sécurité des salariés ? À l'heure où les cas de burnout, les TMS et les maladies professionnelles augmentent, ne faudrait-il pas imposer de bonnes pratiques dans les entreprises ? La comparaison des sanctions 1500 (EURO) pour l'absence d'un DUER et 20 millions d'euros est déconcertante.
Force est de constater qu'aujourd'hui, nombreuses sont les entreprises qui ne possèdent toujours pas de document unique voir qui n'en connaissent même pas l'existence, quand tout le monde parle du RGPD et des amendes de 10 ou 20 millions d'euros qui pèsent sur les entreprises.
Références :
Directive-cadre n° 89/391/CEE du conseil des Communautés européennes du 12 juin 1989 concernant la mise en oeuvre de mesures visant à promouvoir l'amélioration de la sécurité et de la santé des travailleurs au travail
Loi n° 91-1414 du 31-12 1991
Décret 2001-1016 du 5 novembre 2001 portant création d'un document relatif à l'évaluation des risques pour la santé et la sécurité des travailleurs, prévue par l'article l. 230-2 du Code du travail et modifiant le Code du travail
Article L4121-1 à L4121-5 ; L4522-1 ; R4121-1 à R4121-4 du Code du travail
Circulaire d'application n° 6 DRT du 18 avril 2002
INRS : brochure ED840 - Guide d'évaluation des risques, brochure ED887 - Évaluation des risques, questions-réponses sur le document unique.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
DATE-CHARGEMENT: 12 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
26 of 500 DOCUMENTS
La Tribune.fr
Samedi 10 Février 2018 8:09 AM CET
La France peut-elle devenir un leader de l'IA face aux Gafam et aux BATX ?
AUTEUR: Patrick Cappelli
RUBRIQUE: TECHNOS & MEDIAS; INFORMATIQUE
LONGUEUR: 1173 mots
ENCART: La France peut-elle devenir un leader mondial de l'intelligence artificielle ? Pour la vingtaine d'intervenants réunis jeudi 8 février lors de la première Nuit de l'IA, c'est possible. À condition d'assouplir certaines barrières administratives et de convaincre le grand public.
Une salle pleine et beaucoup de gens debout. La Nuit de l'lA qui a eu lieu jeudi 8 février au Palais de Tokyo a réussi son pari malgré des conditions météo difficiles : réunir l'écosystème français de l'intelligence artificielle, qui sera sans conteste le sujet chaud de 2018. Les organisateurs, l'agence Artefact et l'association France is AI (soutenue par France Digitale), veulent faire de la France un hub mondial de cet ensemble de technologies qui, selon le Forum de Davos, constitue le moteur de la quatrième Révolution Industrielle. Un objectif pour le moins ambitieux, vu l'avance prise par les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et IBM, et les investissements considérables programmés par le gouvernement chinois (50 milliards de dollars d'ici 2025) et les BATX (Baidu, Alibaba, Tencent, Xiaomi). Pour Damien Gromier, président de France is AI, « l'écosystème français de l'intelligence artificielle existe, mais il faut le rendre plus visible », grâce par exemple à une cartographie qui met en valeur les 280 startups, les 100 laboratoires de recherche publics et privés et les diverses communautés qui travaillent sur des projets liés à l'IA. Et selon Jean-David Chamboredon, coprésident de France Digitale et investisseur avec le fonds ISAI, il faut jouer collectif et « lever le pied sur le RGPD (1), qui, sous couvert de protection des consommateurs, fait le jeu des GAFA ». Pour ce zélateur de l'entrepreneuriat, si la messe est dite concernant l'exploitation des datas consommateurs - les GAFA ont déjà gagné - il reste des niches (mobilité, santé, énergie, sécurité) pour lesquelles le jeu reste ouvert pour les entreprises françaises.
Le RGPD, cadeau aux GAFAM ? Cette manifestation a aussi réussi un exploit : faire prononcer un discours positif par le docteur Laurent Alexandre (fondateur de DNAVision et actionnaire minoritaire de la Tribune) sur les politiques français et les instances européennes en matière d'IA, lui qui a plutôt l'habitude de les juger sévèrement.
« Il se passe quelque chose. L'État commence à comprendre qu'il faut cesser de changer les lois sans arrêt et d'essayer de fabriquer un Monopoly industriel en subventionnant les canards boiteux. Même à Bruxelles, des gens se rendent compte de l'absurdité du RGPD et de la directive e-privacy, qui sont des cadeaux faits aux GAFAM et risquent de tuer l'écosystème ». L'auteur de la « Guerre des Intelligences » (JC Lattes) salue l'annonce par Cédric Villani d'un investissement de 30 milliards d'euros dans l'IA à l'échelle européenne, mais il estime que cette somme devrait être plutôt de 200 milliards.
« L'IA a besoin de temps long : il faudra des années et des milliers de sociétés pour créer des champions européens. Tencent (géant de l'Internet chinois), c'est 250 fois OVH (leader européen du cloud) ! » rappelle Laurent Alexandre, pour qui l'IA nécessite d'énormes masses de data, et donc une réglementation plus souple sur leur usage. Illustration avec la startup Cardiologs. Pour créer sa base de données de 700.000 ECG (électro cardiogrammes), la startup a dû aller se fournir en data aux États-Unis, en Chine et en Inde.
« La France ne peut être compétitive dans le domaine de la santé en matière d'IA, car l'accès aux données est impossible. Donc le futur leader de ce secteur sera certainement américain » regrette Yann Fleureau, fondateur de Cardiologs. Rassurer les Français Malgré ses réserves, Laurent Alexandre voit apparaître « une fenêtre d'opportunité pour l'IA française, grâce à un écosystème dynamique et un gouvernement qui veut avancer ». Le secrétaire d'État chargé du Numérique, Mounir Mahjoubi était présent pour présenter la vision de l'État sur l'intelligence artificielle. Pour le ministre, il faut trouver un équilibre entre performance et humanité :
« beaucoup de Français ont encore peur de l'IA. Ils ne sont qu'un tiers à la voir positivement, contre 80% en Chine. Et 20% de nos concitoyens ne savent pas utiliser une interface numérique. Ceux-là doivent être notre priorité ». Ce jeudi 8, l'Assemblée Nationale a débattu du futur RGPD, et selon le Secrétaire d'État, les députés sont inquiets et prêts à interdire tout usage des données personnelles de santé, énergétiques, etc.
« J'ai entendu de la peur. La condition absolue est donc de susciter un engagement autour de l'IA, qui présente de nombreuses opportunités, et ce dès le plus jeune âge » a conclu Mounir Mahjoubi. Une des manières de rassurer le grand public est d'augmenter la sécurisation des données utilisées par les algorithmes des IA. C'est l'objectif de Dathena, fondée par Christopher Muffat, venu spécialement de Singapour pour présenter sa société. Embauché en 2015 par HSBC Suisse en pleine affaire des Swiss Leaks (blanchiment de fraude fiscale, procédure juridique toujours en cours, Ndlr), il décide de trouver une méthode simple pour mieux organiser les données. La troisième vague de l'IA Après cinq ans de R&D, Dathena propose une solution à base de traitement naturel du langage et de machine learning pour retrouver, auditer et organiser ses datas, et ainsi aider les sociétés à se mettre en conformité avec le RGPD. Pour que l'IA française compte au plan mondial, il faudra également produire des talents. Or, selon Bernard Ourghanlian, CTO de Microsoft France, seuls 1087 data scientists ont été diplômés en 2016, très loin des besoins évalués par Lionel Touati, Cloud Platform Sales Engineer chez Google, a un million de data scientist et 21 millions de développeurs à l'échelle mondiale. La France est pourtant capable d'engendrer des champions mondiaux, comme elle l'a prouvé avec Aldebaran et ses robots Pepper et NAO, racheté par le japonais Softbank. Bruno Maisonnier, fondateur d'Aldebaran, a présenté son nouveau projet Another Brain, qui veut dépasser les réseaux de neurones et le deep learning pour surfer sur la troisième vague de l'IA avec des « circuits intégrés d'IA bio inspirés pour un apprentissage autonome et non supervisé ».
« Certains expliquent qu'il faudra des années pour atteindre cette troisième vague. Nous disons que nous le ferons d'ici vingt mois » affirme Bruno Maisonnier, qui a levé 10 millions d'euros et vise les marchés de l'IoT, de la robotique, de la défense et des voitures autonomes. Finalement, l'IA du futur pourrait bien être made in France. --- (1) Le Règlement Général pour la Protection des Données entrera en vigueur le 25 mai prochain. Il instaure de nouvelles obligations pour toute entité qui gère des volumes massifs de données personnelles. La directive e-privacy, toujours en discussion, traite du consentement des internautes à recevoir des cookies ______ ENTRETIEN AVEC... MOUNIR MAHJOUBI, Secrétaire d'État auprès du Premier ministre chargé du Numérique
JEAN-DAVID CHAMBOREDON, co-Président de France Digitale et CEO de ISAI
« Beaucoup de Français ont encore peur de l'IA. Ils ne sont qu'un tiers à la voir positivement, contre 80% en Chine. Et 20% de nos concitoyens ne savent pas utiliser une interface numérique. Ceux-là doivent être notre priorité ».(920547.png)
DATE-CHARGEMENT: 10 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
27 of 500 DOCUMENTS
La Tribune
Samedi 10 Février 2018
La France peut-elle devenir un leader de l'IA face aux Gafam et aux BATX ?
AUTEUR: Patrick Cappelli
RUBRIQUE: FOCUS; Pg. 16
LONGUEUR: 1145 mots
ENCART: La France peut-elle devenir un leader mondial de l'intelligence artificielle ? Pour la vingtaine d'intervenants réunis jeudi 8 février lors de la première Nuit de l'IA, c'est possible. À condition d'assouplir certaines barrières administratives et de convaincre le grand public.
Une salle pleine et beaucoup de gens debout. La Nuit de l'lA qui a eu lieu jeudi 8 février au Palais de Tokyo a réussi son pari malgré des conditions météo difficiles : réunir l'écosystème français de l'intelligence artificielle, qui sera sans conteste le sujet chaud de 2018. Les organisateurs, l'agence Artefact et l'association France is AI (soutenue par France Digitale), veulent faire de la France un hub mondial de cet ensemble de technologies qui, selon le Forum de Davos, constitue le moteur de la quatrième Révolution Industrielle. Un objectif pour le moins ambitieux, vu l'avance prise par les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) et IBM, et les investissements considérables programmés par le gouvernement chinois (50 milliards de dollars d'ici 2025) et les BATX (Baidu, Alibaba, Tencent, Xiaomi). Pour Damien Gromier, président de France is AI, « l'écosystème français de l'intelligence artificielle existe, mais il faut le rendre plus visible », grâce par exemple à une cartographie qui met en valeur les 280 startups, les 100 laboratoires de recherche publics et privés et les diverses communautés qui travaillent sur des projets liés à l'IA. Et selon Jean-David Chamboredon, coprésident de France Digitale et investisseur avec le fonds ISAI, il faut jouer collectif et « lever le pied sur le RGPD (1), qui, sous couvert de protection des consommateurs, fait le jeu des GAFA ». Pour ce zélateur de l'entrepreneuriat, si la messe est dite concernant l'exploitation des datas consommateurs - les GAFA ont déjà gagné - il reste des niches (mobilité, santé, énergie, sécurité) pour lesquelles le jeu reste ouvert pour les entreprises françaises.
Le RGPD, cadeau aux GAFAM ? Cette manifestation a aussi réussi un exploit : faire prononcer un discours positif par le docteur Laurent Alexandre (fondateur de DNAVision et actionnaire minoritaire de la Tribune) sur les politiques français et les instances européennes en matière d'IA, lui qui a plutôt l'habitude de les juger sévèrement.
« Il se passe quelque chose. L'État commence à comprendre qu'il faut cesser de changer les lois sans arrêt et d'essayer de fabriquer un Monopoly industriel en subventionnant les canards boiteux. Même à Bruxelles, des gens se rendent compte de l'absurdité du RGPD et de la directive e-privacy, qui sont des cadeaux faits aux GAFAM et risquent de tuer l'écosystème ». L'auteur de la « Guerre des Intelligences » (JC Lattes) salue l'annonce par Cédric Villani d'un investissement de 30 milliards d'euros dans l'IA à l'échelle européenne, mais il estime que cette somme devrait être plutôt de 200 milliards.
« L'IA a besoin de temps long : il faudra des années et des milliers de sociétés pour créer des champions européens. Tencent (géant de l'Internet chinois), c'est 250 fois OVH (leader européen du cloud) ! » rappelle Laurent Alexandre, pour qui l'IA nécessite d'énormes masses de data, et donc une réglementation plus souple sur leur usage. Illustration avec la startup Cardiologs. Pour pour créer sa base de données de 700.000 ECG (électro cardiogrammes), la startup a dû aller se fournir en data aux États-Unis, en Chine et en Inde.
« La France ne peut être compétitive dans le domaine de la santé en matière d'IA, car l'accès aux données est impossible. Donc le futur leader de ce secteur sera certainement américain » regrette Yann Fleureau, fondateur de Cardiologs. Rassurer les Français Malgré ses réserves, Laurent Alexandre voit apparaître « une fenêtre d'opportunité pour l'IA française, grâce à un écosystème dynamique et un gouvernement qui veut avancer ». Le secrétaire d'État chargé du Numérique, Mounir Mahjoubi était présent pour présenter la vision de l'État sur l'intelligence artificielle. Pour le ministre, il faut trouver un équilibre entre performance et humanité :
« beaucoup de Français ont encore peur de l'IA. Ils ne sont qu'un tiers à la voir positivement, contre 80% en Chine. Et 20% de nos concitoyens ne savent pas utiliser une interface numérique. Ceux-là doivent être notre priorité ». Ce jeudi 8, l'Assemblée Nationale a débattu du futur RGPD, et selon le Secrétaire d'État, les députés sont inquiets et prêts à interdire tout usage des données personnelles de santé, énergétiques, etc.
« J'ai entendu de la peur. La condition absolue est donc de susciter un engagement autour de l'IA, qui présente de nombreuses opportunités, et ce dès le plus jeune âge » a conclu Mounir Mahjoubi. Une des manières de rassurer le grand public est d'augmenter la sécurisation des données utilisées par les algorithmes des IA. C'est l'objectif de Dathena, fondée par Christopher Muffat, venu spécialement de Singapour pour présenter sa société. Embauché en 2015 par HSBC Suisse en pleine affaire des Swiss Leaks (blanchiment de fraude fiscale, procédure juridique toujours en cours, Ndlr), il décide de trouver une méthode simple pour mieux organiser les données. La troisième vague de l'IA Après cinq ans de R&D, Dathena propose une solution à base de traitement naturel du langage et de machine learning pour retrouver, auditer et organiser ses datas, et ainsi aider les sociétés à se mettre en conformité avec le RGPD. Pour que l'IA française compte au plan mondial, il faudra également produire des talents. Or, selon Bernard Ourghanlian, CTO de Microsoft France, seuls 1087 data scientists ont été diplômés en 2016, très loin des besoins évalués par Lionel Touati, Cloud Platform Sales Engineer chez Google, a un million de data scientist et 21 millions de développeurs à l'échelle mondiale. La France est pourtant capable d'engendrer des champions mondiaux, comme elle l'a prouvé avec Aldebaran et ses robots Pepper et NAO, racheté par le japonais Softbank. Bruno Maisonnier, fondateur d'Aldebaran, a présenté son nouveau projet Another Brain, qui veut dépasser les réseaux de neurones et le deep learning pour surfer sur la troisième vague de l'IA avec des « circuits intégrés d'IA bio inspirés pour un apprentissage autonome et non supervisé ».
« Certains expliquent qu'il faudra des années pour atteindre cette troisième vague. Nous disons que nous le ferons d'ici vingt mois » affirme Bruno Maisonnier, qui a levé 10 millions d'euros et vise les marchés de l'IoT, de la robotique, de la défense et des voitures autonomes. Finalement, l'IA du futur pourrait bien être made in France. --- (1) Le Règlement Général pour la Protection des Données entrera en vigueur le 25 mai prochain. Il instaure de nouvelles obligations pour toute entité qui gère des volumes massifs de données personnelles. La directive e-privacy, toujours en discussion, traite du consentement des internautes à recevoir des cookies
« Beaucoup de Français ont encore peur de l'IA. Ils ne sont qu'un tiers à la voir positivement, contre 80% en Chine. Et 20% de nos concitoyens ne savent pas utiliser une interface numérique. Ceux-là doivent être notre priorité ». (920547.png)
DATE-CHARGEMENT: 9 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
28 of 500 DOCUMENTS
L'AGEFI Actifs
février 9 2018
Une course contre la montre est engagée;
Dématérialisation des relations contractuelles
AUTEUR: Bertille Gille
RUBRIQUE: CADRE LÉGAL; Pg.22
LONGUEUR: 1646 words
L'ordonnance du 4 octobre 2017 (1) relative à la dématérialisation des relations contractuelles a été prise sur le fondement de la loi pour une République numérique (2). Son objectif ? Institutionnaliser dans le secteur financier l'utilisation d'outils et de services digitaux - à l'image de la signature et du recommandé électronique - et promouvoir le développement de l'économie digitale. Un dessein qui n'est pas sans rappeler l'ambition de l'Union européenne qui souhaite la création « d'un marché unique des données ».
Contextualisation. Ce texte concerne les acteurs de la banque, de l'assurance et les mutuelles. Il faut pour en mesurer les enjeux le replacer dans un contexte législatif et réglementaire global qui va au-delà de la seule loi numérique. Il doit être lu à l'aune de la directive de distribution de l'assurance (DDA) - dont l'activation vient d'être repoussée au 1er octobre 2018 - et du règlement général des données personnelles (RGPD). DDA brigue la création d'un marché européen de l'assurance (L'Agefi Actifs, n°713, page 17), quand le RGPD a vocation à renforcer le contrôle des citoyens des Etats membres sur leurs données numériques. Son entrée en vigueur est prévue pour le 25 mai prochain (L'Agefi Actifs, n°709, page 22).
Utilisation accrue de la digitalisation. Le rapport relatif à cette ordonnance remis au président de la République permet d'en appréhender les contours. Le texte actualise le cadre juridique qui entoure l'exploitation des supports numériques et consacre leur utilisation dans le secteur de la finance. Les établissements financiers sont invités à dématérialiser au maximum les relations précontractuelles et contractuelles avec leurs clients. « Papier et supports digitaux doivent être mis sur un pied d'égalité », selon les termes du rapport. Pour finir de convaincre les acteurs concernés, l'ordonnance « promet un gain de temps pour l'usager, une fluidification des relations commerciales et une plus grande efficacité opérationnelle pour les professionnels ». Maintenant, « RGPD apporte des obligations tellement lourdes - non anticipées pour la majorité des acteurs - que je ne suis pas certain que cela va accélérer l'adoption de la signature et de l'envoi électroniques, même si l'ordonnance permettra au moins d'harmoniser les principes juridiques entre les différents produits concernés », déclare Alexandre Péron, legal counsel, Banque française mutualiste.
Une dématérialisation pourtant répandue. Mais les acteurs du secteur financier n'ont pas attendu après la loi pour une République numérique, ni après l'ordonnance de 2017 pour développer des services digitaux pour leur clientèle. La dématérialisation d'opérations comme la souscription d'un contrat d'assurance, l'ouverture d'un compte bancaire et même l'obtention d'un crédit est monnaie courante sur le marché et plébiscitée par les usagers. Ce constat amène inévitablement à s'interroger sur les raisons de cette ordonnance. « La dématérialisation est certes une réalité mais la Place attendait une ordonnance pour encadrer et clarifier les pratiques actuellement utilisées par le secteur financier », précise Garance Mathias, avocate associée, cabinet Mathias Avocats.
Champ d'application. L'ordonnance du 4 octobre emporte avec elle la modification de cinq codes, dont le Code monétaire et financier et le Code des assurances, pour rationaliser les pratiques du milieu. Dans le domaine de l'assurance, des opérations de crédit et des services financiers le texte autorise professionnels et clients à échanger des informations et des documents via des supports de communication durables autres que le papier. A titre d'exemple, la référence au cachet de la Poste comme mode de preuve est désormais complétée par une référence à l'horodatage certifié utilisé pour les courriers numériques. « En pratique, la date d'expédition de l'envoi recommandé électronique est reconnue au même titre que la date figurant sur le cachet de la Poste. Cette disposition était attendue par les professionnels du secteur financier notamment à des fins probatoires dans le cadre des résiliations. En revanche, le régime de la signature électronique fait l'objet d'une codification dans le Code civil », souligne Garance Mathias.
Nouvelles garanties. Pour engager ou poursuivre une relation contractuelle numérique, le professionnel doit s'assurer au préalable (phase précontractuelle) et annuellement du caractère approprié de ce mode de communication. Autrement dit, il doit vérifier que le client est en mesure de prendre connaissance des informations qui lui seront envoyées par voie digitale. L'établissement qui souhaite poursuivre la relation sous forme dématérialisée a l'obligation d'informer l'usager de manière claire, précise et compréhensible de son droit d'opposition. Dans cette hypothèse, le client a la possibilité de revenir à tout moment et sans frais à un support papier. Autre point, l'ordonnance du 4 octobre prévoit également l'encadrement juridique des espaces personnels sécurisés où sont déposés virtuellement les documents. « Les changements importants ne résident pas tant dans l'acceptation des documents électroniques par les banquiers et les assureurs, sinon dans la sécurité de ces données et de leur traitement. Actuellement, le transfert de documents est le plus souvent exécuté par email. Dans cette situation, il est difficile de s'assurer de l'identité numérique de l'expéditeur. Sur ce point l'ordonnance ne change pas grand-chose. La sécurité des documents relève davantage du RGPD », nuance Xavier de Corson, directeur assurance, Périclès.
Durée de conservation. Les informations disponibles sur les sites des organismes doivent obligatoirement être accessibles. « Elles sont à sauvegarder pendant une durée adaptée à leur finalité selon les règles de conservation légales. Les délais de rétention des documents sont identiques quels que soient les supports utilisés », indique Xavier de Corson.
Propriété et portabilité des données. Dans ce domaine les dispositions de la loi numérique et du RGPD convergent. Il est question pour le titulaire de reprendre la main sur ses données et d'envisager leur portabilité. Pour faciliter la réappropriation de ces data par l'usager, l'ordonnance impose aux établissements d'informer le client au moins deux mois à l'avance avant de bloquer l'accès à son espace numérique et de détruire les données qui y sont stockées. Dans les faits, « ce problème est remonté à plusieurs reprises entre 2012 et 2013, puisque les banques avaient l'habitude de couper l'accès extranet de leurs clients concomitamment à la rupture de la relation contractuelle. Face au mécontentement des usagers, la plupart des banques a prolongé la durée de vie de l'espace client, qui oscille désormais entre de 12 et 18 mois. Il ne s'agit pas d'une obligation légale, seulement d'un agrément commercial. Pendant ce laps de temps, le professionnel doit laisser ces informations à disposition du client qui peut faire valoir son droit à la portabilité », avertit Xavier de Corson. Ainsi, l'utilisateur peut récupérer les éléments conservés dans son espace personnel pour son propre usage ou demander à ce qu'ils soient transférés directement auprès d'un autre dépositaire.
Exclusions. Divers aménagements sont prévus au dispositif général. Sont expressément exclus du champ de l'ordonnance les démarches relatives au droit au compte et les contrats souscrits à distance ou dans le cadre d'un démarchage, en raison de la vulnérabilité des personnes concernées. La donne se complique lorsque l'ordonnance soumet à un traitement spécifique « les produits et services d'investissement en valeurs mobilières » sans plus de précisions sur la nature des prestations et des contrats visés. « C'est toute la complexité de l'ordonnance, qui pose des principes sur lesquels se greffent des exceptions à la dématérialisation, disséminées dans différents codes, notamment parce que la protection du consommateur est primordiale pour le législateur », constate Alexandre Péron, qui déplore aussi le manque de clarté du texte.
Date d'effet. Ces modifications entreront en vigueur le 1er avril prochain et couvriront la pratique existante. « Etant précisé que le projet de loi de ratification devra être adopté dans les cinq mois de la publication de l'ordonnance » rappelle Garance Mathias. Pour les contrats en cours, les acteurs qui le souhaitent pourront éventuellement dématérialiser rétroactivement les documents déjà émis. En contrepartie ils auront l'obligation d'en informer leurs clients dans les conditions prévues par l'ordonnance.
(1) Ordonnance n°2017-1433 du 4/10/17
(2) Article 104 de la loi n°2016-1321 du 7/10/16.
Le doute plane sur la dématérialisation des polices d'assurance vie
La souscription d'un contrat d'assurance vie relève a priori du domaine des services financiers. « Aujourd'hui nombreux sont les produits bancaires et d'investissement dont la souscription passe exclusivement par le canal d'internet. Si l'ordonnance et les textes d'application à venir les excluent de leur périmètre ou les soumettent à un accord exprès du client, il faudra en fonction des cas revenir sur les pratiques actuelles. Par exemple initier la relation contractuelle par voie dématérialisée avant de passer au papier lors de la contractualisation. Un non-sens ! Que reste-t-il à dématérialiser au vu de ces exceptions, ou si le client s'y oppose ? », s'interroge Alexandre Péron. « Seule l'adoption de dispositions complémentaires le déterminera. Tout juste sait-on qu'une série de textes est en préparation », signale Garance Mathias. Un avis partagé par Alexandre Péron, selon qui « les opérateurs bancaires et financiers auront besoin de guidelines pour lever l'incertitude dans laquelle l'ordonnance les place. Ces subtilités peuvent faire peser une responsabilité de taille sur ces établissements », prévient-il.
DATE-CHARGEMENT: 8 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 L'AGEFI
Tous droits réservés
29 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 9 Février 2018
La blockchain est-elle compatible avec le RGPD ?
AUTEUR: Charlie Perreau
RUBRIQUE: ARTICLES; Banque - assurance
LONGUEUR: 1125 mots
ENCART: Privacy by design, droit à l'effacement, responsable de traitement... La technologie qui sous-tend le bitcoin remplit-elle toutes les dispositions du règlement européen ?
"Nul n'est censé ignorer la loi." Pas même la blockchain. Le règlement général sur la protection des données personnelles (RGPD) n'en fait pas mention, mais les entreprises qui fournissent des services blockchain sont soumises à ce règlement, comme n'importe quelle entreprise. Or, par définition, la blockchain est une technologie qui permet de stocker et transférer des données, que ce soit un simple fichier excel, une information financière ou une donnée personnelle. Pour les blockchain privées mises en place par un tiers, le problème est simple à résoudre, car un seul acteur a autorité sur le réseau. Ce dernier doit donc en assumer la responsabilité juridique et respecter le règlement. La start-up Blockchain Partner, qui vend en moyenne 90% de blockchains privées, ne rencontre aucun problème particulier. "Nous n'avons pas encore eu de cas qui nous a empêché de mener à bien des projets", affirme William O'Rorke, legal advisor de la start-up. Pour les blockchains publiques, comme Bitcoin ou Ethereum, c'est une autre paire de manche. Pour y voir plus clair, le JDN a comparé les principes phares du texte européen avec les caractéristiques de la blockchain publique.
Le responsable du traitement : incompatible
Y-a-t-il un capitaine à bord ? Dans l'article 4 du règlement européen, le responsable du traitement est défini comme "la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement." C'est également lui qui a la responsabilité juridique du traitement des données. Comme la blockchain est par définition décentralisée, il n'y a donc personne à sa tête. "La blockchain a un fonctionnement horizontal, il n'y a pas d'organisme de contrôle. De plus, la blockchain est un protocole, pas un logiciel. Elle ne peut pas être considérée comme responsable du traitement. Personne n'a jamais songé à sanctionner Internet", illustre William O'Rorke.
Dans le monde de la blockchain, il existe de multiples acteurs, dont les mineurs (qui apportent la puissance de calcul), les développeurs et les utilisateurs. Mais aucun ne peut être caractérisé comme responsable du traitement. "Les mineurs ont un simple rôle technique, ils ne sont donc pas les responsables de traitement. Les développeurs agissent en général sous pseudonyme et dans le cadre d'une licence libre", explique William O'Rorke. A noter que la même question se pose concernant la qualification du sous-traitant du responsable du traitement. La réponse est la même : aucun ne peut être considéré comme un sous-traitant.
Le consentement clair : compatible
Clair et éclairé. L'article 7 stipule que "le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale." Pour Blandine Poidevin, avocate spécialisée dans les technologies de l'information et de la communication, la blockchain est l'outil idéal. "Chaque utilisateur vérifie et valide la donnée avant qu'elle ne soit ajoutée dans la blockchain. En plus, l'historique des transactions permet d'apporter la preuve du consentement", estime-t-elle.
Le privacy by design : compatible
Avoir un coup d'avance c'est bien, en avoir deux c'est mieux. Le RGPD a mis au c½ur de son texte le privacy by design, un concept qui impose de réfléchir à la protection des données personnelles en amont de la conception d'un produit ou d'un service. Dans les blockchains publiques, les données et historiques des transactions sont accessibles à tous. "On pourrait croire que la transparence et le libre accès à la blockchain remettent en cause la sécurité et la confidentialité des données stockées. En réalité, les mécanismes de signature et d'horodatage numérique assurent leur intégrité", explique Blandine Poidevin.
Autre argument avancé par Blockchain Partner : les pseudonymes. "C'est une infrastructure qui impose le recours par défaut au pseudonymat et aux algorithmes de chiffrement", fait remarquer William O'Rorke. Par exemple, quand une personne génère sa clé privée (l'équivalent d'une signature sur un chèque) et une clé publique (comme un numéro de compte), elle n'existe pas pour le réseau bitcoin. Elle possède uniquement une adresse bitcoin valide qui peut être utilisée pour réaliser des transactions. A aucun moment, des données personnelles sont visibles. "Les blockchains Bitcoin et Ethereum sont des technologies qui tournent avec des millions d'utilisateurs, qui font transférer des sommes importantes sans collecter une seule donnée", indique William O'Rorke.
Le droit à l'effacement : incompatible
Le droit à l'oubli ne concernera plus seulement Google. L'article 17 stipule que "la personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais." Les données inscrites dans la blockchain ne sont ni effaçables, ni rectifiables. Une fois que la transaction a été validée, impossible de revenir en arrière. Comme l'Open Data Institute l'explique : pour "supprimer une donnée, il faudrait que plus de la moitié des n½uds du réseau (les mineurs, ndlr) travaillent ensemble pour reconstruire la chaîne de blocs depuis le moment où la donnée a été ajoutée". Autrement dit, impossible car les mineurs sont répartis aux quatre coins du monde.
Conservation limitée des données : incompatible
Le principe de conservation limitée des données signifie que les données doivent être conservées "pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées", d'après l'article 5 du règlement. Or, dans la blockchain, les données ne peuvent pas être effacées. Elles sont donc conservées à l'infini (sauf en cas de dysfonctionnement, ce qui n'est encore jamais arrivé).
Conclusion : incompatible... pour l'instant
La blockchain publique ne répond donc pas à toutes les dispositions du RGPD. Alors, comment faire ? Le laboratoire d'innovation numérique de la Cnil planche actuellement sur le sujet de la blockchain. Reste à savoir si des réflexions seront apportées avant le 25 mai, date de la mise en application du règlement.
Et aussi : Comment mettre en ½uvre un projet de blockchain en 5 étapes
De l'initialisation du réseau à l'exécution d'un smart contract en passant par la sélection des outils nécessaires, voici les grandes étapes de mise en ½uvre d'une application de chaîne de blocs.
DATE-CHARGEMENT: 12 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2018 Benchmark Group
Tous droits réservés
30 of 500 DOCUMENTS
La Tribune
Vendredi 9 Février 2018
Pourquoi Kumbu mise sur le marché émergent des souvenirs numériques
AUTEUR: Pierre Cheminade
RUBRIQUE: TERRITOIRES; Pg. 79
LONGUEUR: 1056 mots
ENCART: Eclatée entre Bordeaux, Paris, Lyon et Montpellier, Kumbu est une jeune pousse résolument dématérialisée dont le business model vise paradoxalement la sécurisation, voire même la re-matérialisation, de nos vies numériques. Blogs, réseaux sociaux, articles, albums photos : cette startup vous propose de sauvegarder tous vos souvenirs numériques. Après 500.000 EUR en 2016, l'équipe de Kumbu espère lever jusqu'à 5 MEUR cette année pour s'affirmer sur ce marché balbutiant qui reste à construire.
"Oui, c'est un pari risqué !", reconnaît d'emblée Ziad Wakim, le PDG de Kumbu, avant d'affirmer clairement ses ambitions : "On fait le pari générationnel que de plus en plus d'internautes souhaiteront sauvegarder leur vie numérique. On se lance sur un nouveau marché et on veut être le premier acteur et le plus gros !" Lancée fin 2016 en bêta fermée puis au printemps 2017 pour le grand public, Kumbu est une extension pour navigateur (*) qui permet en un seul clic d'enregistrer tout type de contenu numérique (texte, photo, vidéo, page internet, post d'un réseau social, etc...) dans un espace cloud sécurisé et personnalisable. Le service est entièrement gratuit. Modèle freemium et re-matérialisation L'équipe de six salariés - répartis entre Bordeaux, Paris, Lyon et Montpellier - vit pour l'instant grâce aux 500.000 EUR levés à l'été 2016 auprès de business angels. De quoi financer le prototypage du produit, le premier volet de prospection de clients et l'exploitation des retours du millier d'utilisateurs actifs actuellement. Une feuille de route qui tiendra jusqu'en novembre prochain. D'ici là, Kumbu doit donc bâtir un modèle économique suffisamment solide. Trois axes sont envisagés de manière complémentaire :
"Le premier, c'est la tarification directe avec un modèle freemium. On proposera de payer un espace de stockage supplémentaire et différents services associés avec un prix d'appel qu'on imagine autour de 24 EUR/an", détaille Ziad Wakim. Le deuxième, c'est la transformation de ces souvenirs en objets physiques ou digitaux haut-de-gamme que les utilisateurs sont prêts à valoriser. Cela pourrait être des livres-photos, de beaux objets ou des impressions 3D. Enfin, le troisième axe correspond à l'intégration de Kumbu directement dans des plateformes tiers moyennant rémunération." Tous ces services seront proposés sans aucune publicité. "La philosophie même de Kumbu nous interdit d'utiliser les données de nos utilisateurs pour de la publicité ciblée. Les données sauvegardées chez nous sont cryptées, nous n'y avons pas accès et elles restent la propriété de chaque utilisateur", assure Arnaud Bressier, le directeur marketing, installé à l'espace Coolworking à Bordeaux. C'est ici que Kumbu envisage de développer son pôle marketing et communication dans les années qui viennent.
Ziad Wakim, à gauche, est installé à Paris tandis qu'Arnaud Bressier, à droite, a choisi Bordeaux et les locaux de Coolworking, aux Quinconces (Crédits : Kumbu). Concrètement, les données européennes sont stockées en France, chez OVH, tandis que pour le reste du monde, il s'agit de serveurs Amazon aux Etats-Unis. "Les données sont cryptées et sauvegardées en silos sur trois serveurs différents. Les utilisateurs peuvent les télécharger à tout moment", poursuit Arnaud Bressier qui met en avant un dispositif en tous points compatible avec le règlement européen sur la protection des données (RGPD). C'est d'ailleurs l'un des arguments commerciaux de Kumbu, selon le directeur marketing : "De nombreuses plateformes européennes ne sont pas préparées au RGPD et sont intéressées par nos services qui respectent toutes ces problématiques." 5 MEUR en ligne de mire L'équipe de Kumbu ambitionne de passer de 1.000 utilisateurs actifs en 2018 à 10.000 en 2019 puis 100.000 en 2020. "Cela peut paraître énorme mais plusieurs interlocuteurs, notamment nord-américains, estiment que l'on ne voit pas assez grand !", relativise Ziad Wakim. La startup vise un marché, certes émergent, mais mondial, condition de sa future rentabilité. Tout est développé en anglais depuis l'origine du projet dont les utilisateurs se répartissent à parts égales entre l'Europe, l'Amérique du Nord et le reste du monde. Initiée en novembre dernier, une nouvelle levée de fonds est donc en cours avec l'objectif d'aboutir en juin prochain à un tour de table de 2 à 5 MEUR :
"Nous discutons avec des fonds d'investissement européens et américains. On vise entre 2 et 5 MEUR sachant que si la levée de capital se fait aux Etats-Unis, les montants seront plus élevés", précise le PDG de 39 ans. "C'est l'une des limites du système startup en France : il manque encore d'acteurs de capital-risque capables de soutenir des projets sur des montants aussi importants et de prendre des décisions aussi rapidement. Mais c'est en train de changer." Ziad Wakim se montre ainsi plutôt confiant sur le succès de cette levée de fonds en termes de montant, qui permettra d'étendre plus rapidement le marché et de développer de nouvelle options, mais il s'interroge plutôt sur le profil du ou des futurs investisseurs. "Nous tenons particulièrement à trouver un investisseur qui soit en phase avec notre projet et nos valeurs s'agissant des données personnelles notamment. C'est probablement le critère qui sera déterminant pour nous", insiste-t-il. D'autant que Kumbu devra aussi démontrer la pertinence d'une entreprise lucrative sur un marché naissant où plusieurs acteurs se positionnent sur une logique d'open source gratuite et collaborative. Pour Ziad Wakim, c'est une certitude : "Il y a une place pour une société privée à condition qu'elle soit responsable et transparente !" Deux défis de taille Kumbu aura ensuite à surmonter deux difficultés de taille. Valider son modèle économique, d'une part, avec une rentabilité espérée à l'horizon 2021 ou 2022. Et trouver sa clientèle, d'autre part : "Nous sommes dans une situation particulière parce que nous ne nous battons pas contre des concurrents mais avec notre capacité à convaincre de l'utilité de notre service", observe Arnaud Bressier qui assure que Kumbu, contrairement à ce que l'on pourrait penser, vise avant tout les utilisateurs d'internet non technophiles. "La moitié de nos utilisateurs actifs ont plus de 50 ans et beaucoup n'avaient jamais installé une extension de navigateur. Tout notre service est pensé pour être le plus simple possible." Principal motif d'optimisme : la cible visée par Kumbu correspond environ à 80 % des internautes dans le monde. Il ne reste plus qu'à les convaincre. ---- (*) L'extension est disponible sur Chrome et le sera en mars sur Firefox. Une application iOS et Android, actuellement en bêta fermée, doit être lancée fin mars.
L'extension de navigateur Kumbu permet de sauvegarder d'un clic ses souvenirs numériques dans un espace virtuel sécurisé. (918579.png)
DATE-CHARGEMENT: 8 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
31 of 500 DOCUMENTS
Le Figaro Online
vendredi 9 février 2018 05:00 AM GMT
Qu'est-ce que la majorité numérique fixée à 15 ans en France ?
AUTEUR: Pauline Verge; pverge@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 824 mots
ENCART: Le projet de loi sur la protection des données personnelles, examiné à l'Assemblée nationale, fixe à 15 ans l'âge de la majorité numérique. Voici cinq questions pour mieux comprendre les enjeux autour de cette notion.
La fixation de l'âge de la majorité numérique d'un jeune Français est formulée dans unamendement au projet de loi sur la protection des données personnelles, déposé de la députée et rapporteure du texte Paula Forteza (LREM) et adopté le 24 janvier en Commission des lois de l'Assemblée Nationale. Les députés français l'ont confirmé en séance. Celui-ci précise qu'à partir de 15 ans, «un mineur peut consentir seul à un traitement de données à caractère personnel». Avant cet âge, l'accès aux données personnelles de l'enfant est soumis au double consentement de ce dernier et de ses parents.
La majorité numérique correspond à l'âge auquel la loi française considère un jeune comme le propriétaire de ses données personnelles. Il est alors en mesure d'accepter ou non que des services tiers tels que ceux proposés par Google, Amazon, Facebook, Apple ou encore Microsoft - pour ne citer qu'eux - aient accès à ses données pour les collecter à des fins commerciales. Avant d'avoir atteint sa majorité numérique, l'enfant doit obtenir l'accord préalable de son tuteur légal pour s'inscrire sur les réseaux sociaux. Tous les services collectant des informations personnelles (nom, prénom, date de naissance, mail ...) sont concernés. Cette mesure doit permettre «d'accompagner les enfants dans leur apprentissage de l'univers numérique et des réseaux sociaux», explique l'amendement. Les parents d'un enfant de moins de 15 ans pourront également décider de le laisser seul décideur du traitement de ses données personnelles. Enfin, les plateformes comme Facebook ou Google qui utilisent les données personnelles à des fins commerciales seront dans l'obligation de rédiger «en des termes clairs et simples, aisément compréhensibles par le mineur, toute information et communication relative au traitement qui le concerne».
Jusqu'ici, la majorité numérique ne faisait pas l'objet d'une définition juridique dans la loi française. L'âge minimum pour accéder aux plateformes en ligne était librement défini par... les plateformes elles-mêmes. Facebook a, par exemple, fixé à 13 ans l'âge minimum pour créer un compte sur le réseau social. Mais la Commission européenne a établi en avril 2016 que de nouvelles règles devaient s'appliquer aux éditeurs de services manipulant des données personnelles dans le cadre du «Paquet européen de protection des données». L'idée est de mieux protéger les plus jeunes contre l'exploitation de leurs données, en comptant sur les parents pour mieux les informer à ce sujet. Le projet de loi sur la protection des données personnelles examiné à l'Assemblée a pour objectif d'adapter le droit français à ce texte.
Au niveau européen, le Règlement général sur la protection des données (RGPD) adopté en avril 2017 fixe la majorité numérique à 16 ans. Il laisse toutefois une marge de manoeuvre aux États, qui peuvent abaisser ce seuil jusqu'à 13 ans.
» LIRE AUSSI - Le grand chantier des données personnelles (article premium)
La version initiale du projet de loi prévoyait de fixer cette majorité à 16 ans. Finalement, le seuil des 15 ans a fait consensus au sein de la Commission des lois. Selon Paula Forteza, l'abaissement de la majorité numérique de 16 à 15 ans correspond à une volonté d'harmonisation avec la loi française. 15 ans, c'est en effet l'âge de la majorité sexuelle, ainsi que celui à partir duquel les données de santé d'un mineur peuvent être prises en compte par les sondages. «15 ans correspond à un moment de maturité dans le cycle de croissance des individus», explique la députée.
C'est la question la plus délicate. À ce jour, s'il est théoriquement impossible de s'inscrire sur Facebook avant l'âge de 13 ans, aucune vérification sérieuse n'est mise en place. De nombreux préadolescents passent outre cette limite. D'après une enquête réalisée en juin par la Commission nationale de l'informatique et des libertés (Cnil) et l'association Génération numérique, 63% des 11-14 ans sont inscrits sur au moins un réseau social, et ils sont plus de 4 sur 10 à mentir sur leur âge. Fixer la majorité numérique à 15 ans et exiger une autorisation parentale pour les mineurs implique donc la mise en place de nouveaux outils efficaces pour faire respecter ce seuil. Pour Paula Forteza, l'application concrète de la majorité numérique doit faire l'objet d'un dialogue entre les plateformes, les pouvoirs publics et la Cnil (Commission nationale de l'informatique et des libertés).
Selon l'enquête de la Cnil et de Génération numérique, les jeunes entre 11 et 14 ans sont moins informés que leurs aînés sur les enjeux liés à leurs données personnelles. Ils ne sont que 41,6% à savoir que les réseaux sociaux peuvent utiliser les contenus qu'ils publient, contre 72,8% des 15-18 ans. De la même manière, alors que 80% des 15-18 ans pensent que les réseaux sociaux peuvent les géolocaliser, moins de 50% des 11-14 ans partagent cet avis.
Sur Internet, les données personnelles sont aspirées dès le plus jeune âge
DATE-CHARGEMENT: 9 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Figaro
Tous droits réservés
32 of 500 DOCUMENTS
Le Figaro
Vendredi 9 Février 2018
« On a le droit à l'oubli, à condition que cela soit sincère »
RUBRIQUE: CULTURE; Pg. 28 N° 22860
LONGUEUR: 509 words
Si chacun est responsable de ses écrits sur les réseaux sociaux, Me Alain Bensoussan, avocat spécialisé sur les questions d'e-réputation, estime que les individus ont aussi droit à l'oubli.
LE FIGARO. - Comprenez-vous que TF1 et la production de « The Voice » aient pu passer à côté des messages complotistes de Mennel Ibtissem ?
Me Alain BENSOUSSAN. -
Il faut s'interroger sur la démocratie numérique que nous voulons. Chacun d'entre nous est comptable de son histoire. Il faut donc y faire attention tout en sachant que nous avons un droit à l'oubli, voire au pardon. Je ne préconise pas qu'il faille tendre vers une société d'enquête systématique. Il faut surtout trouver un équilibre entre la vérification et l'enquête. Cette affaire, inédite dans un jeu télévisé, révèle-t-elle un phénomène nouveau ?
Le règlement européen relatif à la protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai 2018 va consacrer le droit à l'oubli pour que demain ne soit pas uniquement dicté par les écrits douteux du passé. Pour les mineurs, il y a un droit à l'oubli automatique prévu dans ce règlement. Ils auront ainsi droit à une remise à zéro. C'est pour les jeunes majeurs et autres que la question est plus complexe. Elle s'organise mais il existe des résistances de la part de Google, et plus généralement des géants du Web, qui segmentent ce droit à l'oubli. Il y a aussi des questions de territorialité des sites qui hébergent des messages controversés, tous ne sont pas soumis aux mêmes lois. Existe-t-il une réelle virginité numérique ?
Avant, il y avait une forme d'oubli parce que l'information était entre les mains de journaux, de quelques individus. Aujourd'hui, elle est accessible partout. C'est propre à la « marmite numérique ». Tout le monde à accès à tout. Et parfois aux casseroles... Cette affaire de « The Voice » révèle autre chose. Les individus ne s'assurent pas sur leur passé. Il faut être vigilant à sa propre réputation. Chacun doit veiller à rester digne car les écrits et les informations restent. Il est compréhensible que TF1 soit extrêmement sensible à ce qu'une candidate puisse représenter une certaine expression de la dignité. Est-il encore nécessaire de rappeler que l'on est responsable de ces écrits sur les réseaux sociaux ?
Il n'y a pas de différences entre ce qui est écrit sur les réseaux sociaux et la réalité. La seule différence, c'est la notion d'espaces privé et public. La Cour de cassation est en train de régler cette question. Mais les messages peuvent avoir de multiples qualifications comme la diffamation ou l'injure et autres actes illicites. Est-ce que la candidate a eu raison de supprimer ses messages ?
Chacun doit être le gardien de son « musée informationnel ». Il faut prendre conscience que ces données restent et il faut donc vérifier que l'information qui reste soit pertinente. Sinon, il faut l'enlever. On a le droit de réguler son passé. On a le droit de supprimer des informations qui ne sont plus assumées. On a le droit de changer. À condition que cela soit sincère.
DATE-CHARGEMENT: 8 Février 2018
LANGUE: FRENCH; FRANÇAIS
DOCUMENT-TYPE: INTERVIEW
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous droits réservés
33 of 500 DOCUMENTS
Le Figaro Économie
Vendredi 9 Février 2018
« On a le droit à l'oubli, à condition que cela soit sincère »
RUBRIQUE: CULTURE; Pg. 28 N° 22860
LONGUEUR: 508 mots
Si chacun est responsable de ses écrits sur les réseaux sociaux, Me Alain Bensoussan, avocat spécialisé sur les questions d'e-réputation, estime que les individus ont aussi droit à l'oubli.LE FIGARO. - Comprenez-vous que TF1 et la production de « The Voice » aient pu passer à côté des messages complotistes de Mennel Ibtissem ?Me Alain BENSOUSSAN.
- Il faut s'interroger sur la démocratie numérique que nous voulons. Chacun d'entre nous est comptable de son histoire. Il faut donc y faire attention tout en sachant que nous avons un droit à l'oubli, voire au pardon. Je ne préconise pas qu'il faille tendre vers une société d'enquête systématique. Il faut surtout trouver un équilibre entre la vérification et l'enquête.Cette affaire, inédite dans un jeu télévisé, révèle-t-elle un phénomène nouveau ?Le règlement européen relatif à la protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai 2018 va consacrer le droit à l'oubli pour que demain ne soit pas uniquement dicté par les écrits douteux du passé.Pour les mineurs, il y a un droit à l'oubli automatique prévu dans ce règlement. Ils auront ainsi droit à une remise à zéro. C'est pour les jeunes majeurs et autres que la question est plus complexe. Elle s'organise mais il existe des résistances de la part de Google, et plus généralement des géants du Web, qui segmentent ce droit à l'oubli. Il y a aussi des questions de territorialité des sites qui hébergent des messages controversés, tous ne sont pas soumis aux mêmes lois.Existe-t-il une réelle virginité numérique ?Avant, il y avait une forme d'oubli parce que l'information était entre les mains de journaux, de quelques individus. Aujourd'hui, elle est accessible partout. C'est propre à la « marmite numérique ». Tout le monde à accès à tout. Et parfois aux casseroles... Cette affaire de « The Voice » révèle autre chose. Les individus ne s'assurent pas sur leur passé. Il faut être vigilant à sa propre réputation. Chacun doit veiller à rester digne car les écrits et les informations restent. Il est compréhensible que TF1 soit extrêmement sensible à ce qu'une candidate puisse représenter une certaine expression de la dignité.Est-il encore nécessaire de rappeler que l'on est responsable de ces écrits sur les réseaux sociaux ?Il n'y a pas de différences entre ce qui est écrit sur les réseaux sociaux et la réalité. La seule différence, c'est la notion d'espaces privé et public. La Cour de cassation est en train de régler cette question. Mais les messages peuvent avoir de multiples qualifications comme la diffamation ou l'injure et autres actes illicites.Est-ce que la candidate a eu raison de supprimer ses messages ? Chacun doit être le gardien de son « musée informationnel ». Il faut prendre conscience que ces données restent et il faut donc vérifier que l'information qui reste soit pertinente. Sinon, il faut l'enlever. On a le droit de réguler son passé. On a le droit de supprimer des informations qui ne sont plus assumées. On a le droit de changer. À condition que cela soit sincère.
DATE-CHARGEMENT: 8 Février 2018
LANGUE: FRENCH; FRANÇAIS
DOCUMENT-TYPE: INTERVIEW
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous Droits Réservés
34 of 500 DOCUMENTS
Les Echos.fr
vendredi 9 février 2018
Weborama veut croire que l'heure du décollage a sonné
AUTEUR: NICOLAS MADELAINE
RUBRIQUE: ARTICLE; 1,3 miliard de profils
LONGUEUR: 739 mots
ENCART: Sur son métier d'avenir, le marketing à l'aide de la data, qui pèse les deux tiers de ses revenus, le groupe est sur une tendance de croissance de 30 %.
Weborama, qui se définit comme un leader européen des technologies de data marketing, estime que l'heure du décollage a sonné. Coté en Bourse, le groupe français a publié mercredi dernier un chiffre d'affaires en hausse de 13 %, à 32,7 millions d'euros, ses résultats complets devant être révélés le 22 mars. Cependant, ses dirigeants Alain Lévy, PDG, et Daniel Sfez, directeur délégué, expliquent que sur son métier d'avenir, la « data stratégie », qui pèse les deux tiers de ses revenus, les revenus ont grimpé de 28 %, à 22,2 millions.
Sur son premier métier, baptisé « ad serving » et consistant à piloter et analyser les campagnes en ligne avec des indicateurs comme le nombre de contacts avec les internautes, le nombre de clics, le revenu généré, etc. la tendance est à la légère décroissance. Si les technologies sont amorties et donc les marges importantes, le marché est figé depuis 2008 avec un Google représentant 85 % du total grâce à DoubleClick, explique Alain Lévy.
1,3 miliard de profils
En revanche, les annonceurs ont de plus en plus besoin de « data marketing », estime le groupe. Les spécialistes de ces métiers - dans ce domaine, Weborama se bat contre des géants mondiaux comme Adobe et Oracle ou des acteurs plus locaux comme 1000mercis ou Cleverdata - deviennent des acteurs de plus en plus importants dans le planning des achats d'espaces par les marques. Ce qui sera encore plus vrai quand la télévision fournira de la publicité personnalisée ou « adressée ».
La base de profils de Weborama atteint aujourd'hui 1,3 milliard de gens. « Au début, nous faisions des partenariats avec des éditeurs pour acquérir de la donnée brute, c'est-à-dire des points de contact entre un internaute et un contenu à un moment donné, explique Alain Lévy. Aujourd'hui, nous achetons cette donnée à des acteurs qui la collectent, comme AddThis, qui fait les boîtes de partage de contenus avec Facebook, Twitter etc. en dessous des articles, par exemple, et récupère de la donnée. »
Développement américain
Parallèlement, Weborama « crawle » 1,2 milliard de pages Web et utilise des techniques linguistiques pour les organiser en 220 contenus thématiques. Ce travail permet de créer « un nuage de mots » personnalisé définissant les centres d'intérêt de chacun de ces profils.
Mise à la disposition d'une marque, cette base qualifiée permet de mieux connaître ses acheteurs - Weborama en a la plupart du temps déjà une grande partie - puis d'en trouver d'autres aux profils similaires. Exemple : un vendeur de vêtements en ligne a ainsi pu déterminer ce qui caractérisait ses meilleurs acheteurs (environ 4.000) et en a approché 900.000 autres qui leur ressemblaient, explique la direction de Weborama.
Le gros enjeu pour Weborama est désormais de se développer aux Etats-Unis. Son chiffre d'affaires y est passé l'an dernier de 800.000 euros à 3,5 millions, grâce à un contrat avec un « acteur global » non identifié par la direction, « qui achète notre technologie pour la distribuer à ses clients », dit Daniel Sfez. L'intérêt d'exister outre-Atlantique est notamment d'être mieux valorisé en Bourse : Alain Lévy note qu'une société équivalente à la sienne a été rachetée 14 fois ses ventes par Salesforce, soit 700 millions de dollars.
Directives européennes
Bien sûr, Weborama ne pourra se développer que si les autorités ne restreignent pas trop la collecte de données. Le Règlement Général sur la Protection des Données (RGPD) va entrer en vigueur bientôt et une directive européenne sur l'ePrivacy est en discussion. Sur le RGPD, Alain Lévy estime que Weborama a pris les devants avec des techniques, notamment la blockchain, certifiant que le consentement de l'Internaute aux cookies a bien été demandé et conservé. Il pense que la vision extrémiste consistant à demander le consentement à chaque cookie ne sera pas adoptée et que le marché fera le tri entre les acteurs vertueux et ceux qui le sont moins.
Sur l'ePrivacy, et la possibilité d'exclure les cookies par défaut depuis son navigateur, il note que l'Europe a décalé ce sujet aux conséquences très lourdes. Il ajoute qu'il faut attendre le résultat final, des parades pour l'industrie de la pub en ligne étant sans doute possibles en fonction de ce qui sera adopté.
Contributor:
Voir aussi:
[15/01/2018] Données personnelles : l'Europe ne doit pas se tromper de guerre
Voir aussi:
[08/01/2018] Gaspard Koenig : « Chaque citoyen doit pouvoir vendre ses données personnelles »
DATE-CHARGEMENT: 10 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Groupe Les Echos
tous droits réservés
35 of 500 DOCUMENTS
RiskAssur
vendredi 9 février 2018
Linedata Gravitas s'associe à Seclore
RUBRIQUE: ACCORD
LONGUEUR: 633 mots
Avec la multiplication des échanges mondiaux de données, les failles de sécurité sont de plus en plus nombreuses. La plupart des investissements de sécurité se concentrent sur la protection des périphériques, des applications et des réseaux, et parfois moins sur les données, actif le plus précieux des organisations.
Linedata, éditeur de solutions globales et de services d'outsourcing pour les professionnels de l'asset management, de l'assurance et du crédit, et Seclore, spécialiste des outils de gestion des droits numériques, ont annoncé l'intégration de la solution de Seclore au portefeuille de services de cybersécurité de Linedata Gravitas.
Le but est de permettre aux clients de protéger leurs données les plus sensibles quel que soit l'endroit où ces dernières sont échangées ou stockées et quel que soit le format de fichier, le système d'exploitation ou le périphérique utilisé.
Grâce à ce partenariat, les clients de Linedata - gérants de fonds, de patrimoine, institutionnels et alternatifs -disposent d'une solution intégrée garantissant le respect des réglementations internationales relatives à la confidentialité des données, et notamment les dispositions édictées par le Règlement Général sur la Protection des Données (RGPD). La solution de gestion des droits de Seclore offre une piste d'audit complète, un reporting et des alertes en temps réel sur tout signe d'utilisation non autorisée des données.
" Nous annonçons aujourd'hui l'union de deux solutions d'excellence ", déclare Vishal Gupta, fondateur et PDG de Seclore. " L'offre associe les qualités d'innovation de Linedata dans le domaine des infrastructures SaaS et d'hébergement dédiés au secteur des services financiers et le savoir-faire éprouvé de Seclore en matière de gestion des droits numériques. Nos clients peuvent désormais aisément et en toute confiance protéger leurs données les plus sensibles et respecter les contraintes du RGPD et des autres dispositifs réglementaires. "
" Grâce à l'intégration de Seclore à nos services de cybersécurité, nous aidons nos clients à répondre à des exigences toujours plus strictes leur imposant de respecter les principes fondamentaux et réglementaires de protection des données ", souligne Gary Brackenridge, Co-Head Asset Management and Servicing au sein de Linedata. " Quelle que soit leur complexité, nos clients internationaux sont ainsi assurés que leurs actifs de propriété intellectuelle les plus précieux seront protégés systématiquement et en toute transparence. "
A PROPOS DE LINEDATA
Avec 20 ans d'expérience, 20 bureaux couvrant 50 pays à travers le monde, plus de 700 clients et près de 1300 employés, Linedata allie la technologie et l'humain pour apporter des solutions globales et des services d'outsourcing aux professionnels de l'asset management, de l'assurance et du crédit. Linedata accompagne les entreprises dans leur développement et renforce la croissance de ses clients.
A PROPOS DE SECLORE
Seclore a conçu la première solution de sécurité du marché centrée sur les données et entièrement intégrée au navigateur ; elle offre aux organisations un outil pour contrôler l'utilisation de leurs fichiers où qu'ils se trouvent, à l'intérieur comme à l'extérieur de l'entreprise. La capacité à gérer et à contrôler les droits d'accès à distance, qu'il s'agisse de visualisation, de modification, de copie, de partage d'écran ou de distribution de fichiers permet aux organisations de mettre en oeuvre en toute confiance des solutions de mobilité, de partage de fichiers et de collaboration externe. Au travers des 6 000 sociétés établies dans 29 pays qui utilisent ses solutions pour protéger l'équivalent de 10 pétaoctets de données, Seclore aide les organisations à atteindre leurs objectifs de sécurité, de gouvernance et de conformité des données.
DATE-CHARGEMENT: 9 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Franol Services
tous droits réservés
36 of 500 DOCUMENTS
La Semaine Juridique - Entreprise et affaires
08 février 2018
Sous-traitance et responsabilité des manquements à la sécurité des données personnelles
AUTEUR: Fabrice Mattatia, ingénieur général des mines, docteur en droit, chercheur associé à l'université Paris 1
RUBRIQUE: ACTUALITÉ; APERÇU; INFORMATIQUE N° 06-102
LONGUEUR: 2252 mots
Point-clés: Des sanctions récentes de la CNIL rappellent que le responsable d'un traitement de données personnelles est responsable des manquements à la sécurité commis par ses sous-traitants ou par ses prestataires; Jusqu'à quel point une entreprise cliente de prestations informatiques doit-elle alors contrôler et auditer son prestataire, voire les sous-traitants de second rang ?; La loi actuelle appréhende difficilement les cas où le client ne dispose ni de l'expertise technique nécessaire pour contrôler son sous-traitant, ni même de la possibilité de discuter les termes du contrat qui lui sont imposés; Heureusement, le nouveau règlement européen qui s'appliquera en 2018 permettra de mieux répartir les responsabilités entre le donneur d'ordres et le sous-traitant, aussi bien pour la conformité aux obligations légales que pour la réparation des éventuels dommages causés aux tiers.
L'action noxale, intentée contre le maître en raison de la faute du serviteur, remonte à la Loi des Douze Tables concernant les vols, puis a été étendue à tous les dommages (Institutes de Justinien, IV, 8). On en retrouve la trace dans le 5e alinéa de l'article 1242 (anciennement 1384) du Code civil, qui dispose que « Les maîtres et les commettants [sont responsables] du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés ». Toutefois, on ne peut appliquer sans précaution ce principe aux sous-traitants : comme l'indique la Cour de cassation, « l'entrepreneur principal n'est pas responsable envers les tiers des dommages causés par son sous-traitant dont il n'est pas le commettant » (Cass. 3e civ., 22 sept. 2010, n° 09-11.007 : JurisData n° 2010-016655 ; Resp. civ. et assur. 2010, comm. 308). Il s'agit là de la responsabilité des dommages. Concernant la responsabilité des manquements, dans le monde informatique, la sécurité des données personnelles incombe, selon la loi Informatique et Libertés (L. n° 78-17, 6 janv. 1978), au responsable du traitement, même en cas de sous-traitance, comme l'ont rappelé des sanctions récentes (1). Dans un monde où l'externalisation du stockage des données et le cloud computing sont devenus la règle, cette disposition peut sembler difficile à appliquer. L'entrée en application le 25 mai prochain du règlement européen 2016/679 dit Règlement général sur la protection des données (RGPD) (PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016 : JOUE n° L. 119, 4 mai 2016 ; JCP E 2016, dossier 1323 à dossier 1329) apportera-t-elle une évolution (2) ?
Une situation actuelle insatisfaisante
Loi actuelle
Le I de l'article 3 de la loi Informatique et Libertés dispose que « le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens ». Ce responsable compte, parmi ses obligations, celle « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (L. n° 78-17, 6 janv. 1978, art. 34, al. 1). Il s'agit là d'une obligation de moyen, et non de résultat : la CNIL exige la mise en oeuvre de mesures conformes à l'état de l'art (à commencer par la mise à jour des antivirus et des applications), et non une utopique garantie absolue de sécurité. Selon la doctrine de la CNIL, l'objectif est d'assurer la confidentialité, l'intégrité, et la disponibilité des données, ainsi que la traçabilité des accès.
Si le responsable du traitement recourt à un sous-traitant, la loi (L. n° 78-17, 6 janv. 1978, art. 35, al. 3) dispose que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34 ». Toutefois, la loi précise que « cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures » (L. n° 78-17, 6 janv. 1978, art. 35, al. 4).
Sanctions
La violation de cette obligation de sécurisation, directement ou via un sous-traitant, peut être réprimée pénalement par l'article 226-17 du Code pénal : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende ». Des responsables de traitement ont ainsi été condamnés pour leurs propres insuffisances (V. par exemple Cass. crim., 30 oct. 2001, n° 99-82.136 : JurisData n° 2001-012248 ; Comm. com. électr. 2002, comm. 147 ; TGI Versailles, ch. corr., 4 mars 2002 : JurisData n° 2002-203249).
Ces faits sont également passibles d'une sanction administrative par la CNIL, qui a ainsi infligé des sanctions publiques à des responsables de traitement, parfois pour leurs propres fautes (par exemple CNIL, délib. n° 2006-177, 28 juin 2006), mais également lors du recours à des sous-traitants. Il a ainsi été rappelé que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte » (CE, 11 mars 2015, n° 368748, Sté Total Raffinage Marketing : JurisData n° 2015-005000). Cela doit se traduire par une mention dans le contrat de sous-traitance, et la CNIL a infligé une sanction pécuniaire de 50 000 à un responsable de traitement pour lequel, notamment, « le contrat conclu entre la société et son sous-traitant [...] ne comportait aucune clause relative à la sécurité et à la confidentialité des données » (CNIL, délib. n° 2015-379, 5 nov. 2015).
Mais la CNIL a également sanctionné à plusieurs reprises des responsables de traitement pour des manquements à la sécurité entièrement commis par leurs sous-traitants. Une société a ainsi reçu un avertissement public de la CNIL suite à une fuite de données survenue chez un sous-traitant d'un de ses prestataires, un sous-traitant de second rang donc. La CNIL a reproché à ce responsable de traitement de ne pas avoir « fait réaliser d'audit de sécurité sur la version de l'application technique spécifiquement développée par son prestataire secondaire », ce qui est assez surprenant, le responsable en question n'ayant aucun lien contractuel avec ce prestataire de second rang (CNIL, délib. n° 2014-298, 7 août 2014, confirmée par CE, 30 déc. 2015, n° 385019, Sté Orange : JurisData n° 2015-029454 ; Gaz. Pal. 9 févr. 2016, p. 46). Une sanction de 40 000 a été infligée à une société qui n'avait pas imposé de cahier des charges à son prestataire pour développer un site Web, et qui n'avait pas prévu un protocole complet de tests : une erreur commise par le prestataire dans son code informatique n'avait pas été repérée, et des données s'étaient trouvées librement accessibles (CNIL, délib. SAN-2017-010, 18 juill. 2017).
Une sanction récente d'un montant de 100 000 vient confirmer qu'une entreprise ne peut pas se contenter de recourir à une offre du marché : même « en retenant un logiciel standard dit sur étagère proposé par son prestataire, il incombait à la société de procéder aux vérifications des caractéristiques de ce produit qui auraient permis d'identifier le risque résultant de l'existence d'un accès aux données des clients contenues dans l'outil de gestion », et plus particulièrement, « il appartenait à la société, en sa qualité de responsable de traitement, de s'assurer et de vérifier que toutes les composantes et options de l'outil de gestion des demandes de service après-vente développées par [le sous-traitant] répondaient à l'obligation de confidentialité énoncée à l'article 34 de la loi précitée. Au besoin et en application de règles de bonnes pratiques en matière informatique, il revenait à la société de faire désactiver tous les modules inutilement mis en oeuvre par son prestataire » (CNIL, délib. SAN-2018-001, 8 janv. 2018).
S'il semble logique que le contrat de sous-traitance rappelle les obligations de sécurité du sous-traitant, et qu'il impose de les répercuter à d'éventuels sous-traitants de second rang, on ne peut pas facilement exiger d'entreprises clientes, dont l'informatique n'est pas nécessairement la compétence, d'appliquer des « règles de bonnes pratiques en matière informatique » que leur prestataire est censé connaître mieux qu'elles - c'est d'ailleurs pour cela qu'il a été choisi. À quel point l'entreprise qui recourt à un logiciel sur étagère ou à du cloud computing est-elle dans ces conditions responsable de la sécurité du service qu'elle achète, à quel point doit-elle tout auditer - jusqu'aux puces fournies par Intel ?
Le RGPD va-t-il changer la donne ?
Le RGPD modifie l'équilibre des relations entre responsable de traitement de données personnelles et sous-traitant, en responsabilisant davantage ce dernier.
Responsabilité du sous-traitant dans un dommage
Lors des négociations sur le RGPD, la question du partage de responsabilités entre le responsable de traitement et le sous-traitant a constitué un sujet épineux. Mais il s'agissait là de la responsabilité des dommages causés aux tiers (et on retrouve ici l'action noxale évoquée en introduction). Le compromis a abouti à l'article 82 du RGPD, qui dispose en son 2° que concernant la réparation d'un préjudice causé à un tiers, « Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ». Le 3° du même article précise : « Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable ». Dans le cas où la responsabilité du dommage est partagée entre les deux acteurs, les 4° et 5° du même article disposent que ceux-ci doivent assumer les réparations en fonction de leur part de responsabilité dans le dommage.
Le RGPD dispose donc clairement, concernant la réparation des préjudices, que le responsable du traitement peut dégager, entièrement ou partiellement, sa responsabilité vis-à-vis des tiers s'il prouve qu'elle incombe à son sous-traitant.
Obligations du responsable du traitement
Toutefois, même si elles n'ont occasionné aucun préjudice, le responsable du traitement demeure responsable des éventuelles violations du règlement. En effet, le 1° de l'article 28 du RGPD dispose que « Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ». Le recours au sous-traitant doit se faire par un contrat dont le même article énumère longuement le contenu.
La situation demeure donc ici la même qu'auparavant : le responsable du traitement a toujours l'obligation, d'une part, de s'assurer des garanties présentées par son sous-traitant, et, d'autre part, de prévoir un contrat conforme au RGPD. Les motifs ayant conduit aux sanctions évoquées plus haut sous l'empire de la loi actuelle pourront être à nouveau invoqués en cas de manquements similaires. Le RGPD ne modifie donc pas fondamentalement sur ce point le risque juridique des entreprises en cas de recours à la sous-traitance ; au contraire, il augmente fortement le montant des sanctions encourues.
Toutefois, l'article 26 du RGPD introduit la notion de responsabilité conjointe du traitement. Dès 2012, la CNIL avait considéré que dans certains cas d'externalisation, « les clients, bien que responsables du choix de leurs prestataires, ne peuvent pas réellement leur donner d'instructions et ne sont pas en mesure de contrôler l'effectivité des garanties de sécurité et de confidentialité apportées par les prestataires. Cette absence d'instruction et de moyens de contrôle est due notamment à des offres standardisées, non modifiables par les clients, et à des contrats d'adhésion qui ne leur laissent aucune possibilité de négociation. Dans de telles situations, le prestataire pourrait a priori être considéré comme conjointement responsable » (CNIL, recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, 25 juin 2012). Si cette notion ne figurait pas à cette époque dans le droit français, elle s'imposera avec l'entrée en application du RGPD.
La responsabilité conjointe pourra dès lors constituer la solution : le partage des responsabilités entre le responsable du traitement et son sous-traitant pourra être clairement défini par le contrat. Il reste à espérer que les contrats d'adhésion seront rendus conformes à cette attente.
Mots-clés: Informatique; Données personnelles; Traitement automatisé; Sécurité; Responsabilité; Sous-traitance
DATE-CHARGEMENT: 08 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Editions du Juris Classeur
Tous droits réservés
37 of 500 DOCUMENTS
La Tribune
Jeudi 8 Février 2018
Ingénierie, informatique : quelles sont les entreprises qui recrutent à Toulouse ?
AUTEUR: Florine Galéron
RUBRIQUE: TERRITOIRES; Pg. 80
LONGUEUR: 886 mots
ENCART: Elles recrutent à tour de bras en 2018. Tour d'horizon des sociétés d'ingénierie et de services informatiques qui vont embaucher des dizaines voire des centaines de collaborateurs cette année.
En cinq ans, la Haute-Garonne a créé 14 fois plus d'emplois par rapport à la moyenne nationale ! En effet selon le dernier baromètre de l'Urssaf, le département qui englobe la métropole toulousaine a généré à lui seul près de 28 000 emplois entre 2011 et 2016, soit une croissance de 6,9% (contre 0,5% en moyenne en France). Portées par la dynamique du secteur aéronautique et spatial mais aussi de nouveaux besoins de services des entreprises en matière de Big data ou de gestion des données clients avec l'arrivée du RGPD, les entreprises d'ingénierie et de services informatiques vont beaucoup embaucher en 2018 à Toulouse. Alten : 650 postes Parmi les mastodontes du secteur figure Alten.
"Nous avons 750 postes ouverts en 2018 sur le Sud-Ouest dont 100 à Bordeaux et 650 à Toulouse. Nous travaillons bien sûr avec le secteur aéronautique mais aussi l'automobile, l'IT (technologies de l'information), le spatial, les énergies..., avance Leslie Carrasco, responsable recrutement et communication chez Alten Sud-Ouest. Il s'agit à 45% de postes de juniors, le restant cible des personnes qui ont plus d'expérience pour
encadrer les consultants mais aussi de la gestion de projet". Si Alten figure chaque année parmi les plus grands recruteurs de la région c'est aussi parce que comme toutes les sociétés d'ingénierie elle est confrontée à un turnover important de ses effectifs. "Nous essayons de fidéliser les collaborateurs en améliorant leur suivi", assure Leslie Carrasco. Assystem : 420 postes Assystem technologies annonce de son côté 420 recrutements à Toulouse, en grande majorité en CDI. "Ce sont à 60% des postes pour des jeunes diplômés avec 0 à 3 ans d'expérience, pour le reste nous recherchons des business managers, des responsables de gestion de projet", décrit Sabine Jacques responsable recrutement Sud Ouest. Au-delà des profils classiques (aéronautique, spatial, automobile), le groupe recherche des experts digitaux et Big data. Pour garder ses ingénieurs, Assystem technologies a investi 1,5 million d'euros dans un centre de formation aux métiers de l'aéronautique à destination aussi bien de ses propres équipes que de celles de ses clients ou partenaires. Lire aussi : Un nouveau centre de formation pour Assystem à Toulouse Scalian : 310 postes Le groupe d'ingénierie Scalian (ex-Eurogiciel) prévoit 310 recrutements à Toulouse cette année, majoritairement des ingénieurs, des développeurs, des architectes systèmes informatiques mais aussi des chefs de projet informatique, des cadres comptables et des gestionnaires de paie. Parmi les spécialités atypiques recherchées figure un poste d'ingénieur "serious games", un ingénieur développeur "big data cloud azure", un data scientist... CGI : 225 postes Du côté de CGI, 225 recrutements à Toulouse sont prévus en 2018.
"Nous recherchons des développeurs, des consultants, des chefs de projet. Les compétences recherchées sont J2EE, SOA, BI, transformation digitale, Agile Scrum, expertise métiers, détaille l'entreprise. Nous recrutons essentiellement des CDI, des contrats d'alternance à travers notre école du développeur, U'DEV, et nous réalisons également des reconversions Bac+3 à bac+5 via la préparation Opérationnelle à l'emploi (POE)". Celad : 170 postes La société d'ingénierie informatique Celad basée à Balma recrute 170 personnes cette année, tous en CDI. Il s'agit de postes d'ingénieurs dans différentes spécialités : "études et développement Java/JEE, .Net/C#, Php, Java/RCP, systèmes embarqués , électronique, systèmes et réseaux", précise Marine Forget, responsable recrutement de l'entreprise. Serma : 50 postes Au sein de Serma ingénierie Toulouse, une cinquantaine d'embauches sont programmées, toutes en CDI. "Nous recherchons des ingénieurs et techniciens en électronique (analogique, numérique, puissance). Nous avons également des postes ouverts pour des ingénieurs en logiciels embarqués et pour des ingénieurs en FPGA (circuits intégrés programmables)", indique Alexandre Savalli, responsable recrutement du groupe. MyFeelback : 10 postes Éditrice d'une solution d'enrichissement de la connaissance client, MyFeelBack annonce le recrutement dans le courant du premier semestre 2018, de dix nouveaux collaborateurs en CDI : quatre développeurs web, trois managers de comptes clients deux ingénieurs commerciaux experts en connaissance clients et un business developer. "Leur intégration au sein de la startup toulousaine passera par un programme de formation et d'accompagnement d'une durée de trois mois, qui leur permettra notamment de s'approprier les valeurs de l'entreprise", précise MyFeelBack. Val Software : 9 postes L'éditeur de logiciels Val Software a plusieurs postes à pourvoir : six postes en CDI pour des profils développeurs et consultants, trois postes en alternance principalement sur les même profils. "Nous recherchons des profils qui ont de solides connaissances techniques et qui idéalement ont déjà exercé à des postes similaires (pour les postes en CDI). Plus que des compétences nous cherchons également des personnes ayant la motivation et l'envie d'évoluer et d'apprendre", précise Anne-Clémence Abdelli, gestionnaire RH au sein de l'entreprise.
Assystem s'est doté d'un centre de formation, notamment pour répondre à la pénurie de techniciens dans les métiers de l'aéronautique. (913569.png)
DATE-CHARGEMENT: 7 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
38 of 500 DOCUMENTS
La Tribune Hebdomadaire
8 février 2018
RGPD, HYPERCONNEXION, RÉSILIENCE...
AUTEUR: GAËTANE DELJURIE
RUBRIQUE: ENQUÊTE; Pg. 12,13
LONGUEUR: 874 mots
ENCART: les tendances 2018 de la cybersécurité
Entre le Règlement européen sur la protection des données (RGPD), la multiplication des attaques informatiques de grande ampleur et l'hyperconnexion grandissante, jamais les menaces informatiques n'ont été aussi grandes. Mais les opportunités de business également, comme en a témoigné la récente affluence au Forum international de la cybersécurité qui se déroulait les 23 et 24 janvier, à Lille.
RGPD. Le fameux Règlement général sur la protection des données était sur toutes les lèvres au Forum international de la cybersécurité (FIC), organisé à Lille mardi 23 et mercredi 24 janvier. Pour la majeure partie des 200 exposants travaillant dans la sécurité informatique, le RGPD offre des opportunités de business sans précédent. De l'hébergeur français de sites Internet OVH, victime d'une cyberattaque massive en 2016, aux startups, l'écrasante majorité des exposants de ce forum proposent des offres pour répondre à l'obligation urgente de protéger les données personnelles, applicable par toutes les entreprises européennes dès le 25 mai prochain.
UN DANGER OMNIPRÉSENT
" Comme toutes les sociétés devront désormais signaler les piratages de données personnelles, une chose est sûre : l'actualité va mettre beaucoup plus en avant ces attaques informatiques ", prévoit le président de Provadys, Olivier Pantaleo. Tous les experts s'accordent à dire que ce n'est qu'un début. Si les logiciels malveillants WannaCry et Petya ont beaucoup fait parler d'eux l'année dernière avec leurs attaques mondiales, Spectre et Meltdown ont déjà donné le ton pour 2018. Demain, les
malwares, ransomwares et les phishings (en français, virus, logiciels de rançon ou hameçonnage/filoutage) feront partie du quotidien. " La règle numéro 1 en matière de sécurité informatique, c'est l'humilité : on ne sait pas où et quand mais quelqu'un va entrer un jour dans le système ", a résumé Nicolas Villetelle, de Trend Micro France SA.
D'où la thématique de la résilience, choisie pour la conférence plénière d'ouverture du FIC. Une résilience omniprésente qui fait dire au directeur CyberSecurity France d'Airbus Defence and Space, Frédéric Julhes, qu'il faut désormais " savoir vivre avec le risque. Notre expertise vise justement à détecter ces signaux faibles permettant de détecter ces attaques en amont : la résilience, c'est la capacité à réagir en toute agilité, surtout vis-à-vis des vulnérabilités de type 0-day, ces types d'attaques jamais rencontrées nulle part encore. Les systèmes rigides ne suffisent plus ".
Ainsi, la startup Sqreen, qui a remporté le prix de la PME innovante du FIC 2018, fournit une solution permettant de détecter les vulnérabilités et prévenir les attaques au sein des applications web. Pile poil dans la tendance des " DevSecOps ", intégrant la sécurité directement au sein des applications. La startup française va d'ailleurs ouvrir des bureaux à San Francisco, la moitié de ses clients étant basée aux États-Unis.
L'IA À LA RESCOUSSE
Autre thématique phare du FIC 2018, l'" hyperconnexion " : en multipliant les objets connectés, on élargit considérablement le champ des attaques. Près de
20 milliards de systèmes devraient être connectés à horizon 2020 ! " Avec l'éparpillement de la data, la surface d'attaque va devenir incontrôlable. Le flux des informations ira au-delà de nos capacités actuelles à les traiter ", poursuit Nicolas Villetelle. Heureusement, certains entrevoient déjà le sauveur : l'intelligence artificielle, qui devient de plus en plus efficace à mesure que la quantité de données grandit... Orange Cyberdefense a d'ailleurs suscité beaucoup de curiosité avec son approche d'" intelligence augmentée " qui se nourrit en temps réel des différents modes d'attaque et démultiplie son action avec une capacité de prédiction. Google s'y est mis depuis bien longtemps :
" L'intelligence artificielle est tellement puissante qu'elle permet au milliard d'utilisateurs de Google d'être protégés au quotidien des centaines de millions d'attaques. " Pour Jean-Noël de Galzain, star de l'écosystème français de la cybersécurité (à la tête du groupement des pépites de la cybersécurité Hexatrust et de Wallix), les pépites de la cybertech françaises ont réussi à se faire une place dans cette ère de la mobilité et de l'hyperconnexion sur des secteurs de pointe comme " l'identification des utilisateurs, l'authentification, la traçabilité des activités, la gestion des identités et des droits, le chiffrement, etc. ". De nouveaux territoires prometteurs qui compensent la concurrence agressive des nouveaux entrants dans les domaines des anti-virus et de la sécurité périmétrique avec les firewalls, où Hexatrust et Wallix étaient à la pointe.
Parmi ces startups, la très disruptive Prove & Run qui s'est spécialisée dans la sécurité des objets connectés en créant " un tout petit OS proche du zéro bug, afin de justement épauler des systèmes vulnérables ", explique Christophe Pagezy, PDG cofondateur de la société qui travaille aujourd'hui avec l'automobile, le ferroviaire, l'aéronautique... " Aujourd'hui, les enjeux sont tels que les mafieux n'hésitent pas à investir de fortes sommes pour acheter un modèle connecté et à les décortiquer pour voir la faille. " Autant dire qu'à côté, le RGPD n'est qu'une simple formalité.
DATE-CHARGEMENT: February 7, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Tous les experts s'accordent à dire que les attaques informatiques n'en sont qu'à leurs débuts.
iStock
Getty
TYPE-PUBLICATION: Magazine
Copyright 2018 La Tribune
Tous droits réservés
39 of 500 DOCUMENTS
La Tribune Hebdomadaire
8 février 2018
LE 2e RISQUE
AUTEUR: Delphine Cuny
RUBRIQUE: ACTUALITÉS; Pg. 13
LONGUEUR: 830 mots
ENCART: le plus redouté par les entreprises
L'année 2017 aura été marquée par plusieurs attaques informatiques majeures au retentissement mondial, notamment les rançongiciels (ransomware) WannaCry et Petya. Dans ce contexte, il peut paraître logique que les incidents " cyber ", tels que les piratages, les défaillances informatiques et les vols ou les pertes de données, grimpent à la deuxième place des risques auxquels sont exposées les entreprises, selon le baromètre mondial 2018 de l'assureur Allianz. En un an, le risque cyber a grimpé de la 3e à la 2e place, devant les catastrophes naturelles, qui n'ont pourtant pas faibli l'an dernier (ouragans Harvey, Irma et Maria notamment) : il est cité par 40 % des sondés (plus de 1 900 clients, courtiers, consultants, spécialistes des risques dans 80 pays) et talonne désormais le risque d'interruption d'activité, liée par exemple à une rupture de la chaîne logistique, retenu par 42 % des interrogés. Il y a cinq ans, les incidents cyber étaient nº 15 dans ce baromètre, relève Allianz.
DES SOCIÉTÉS DÉPENDANTES DU NUMÉRIQUE
" Pour la première fois, les interruptions d'activités et les incidents cyber sont au coude à coude dans le baromètre des risques d'Allianz, et ils sont de plus en plus interdépendants ", analyse Chris Fischer Hirs, directeur général d'Allianz Global Corporate & Specialty (AGCS), la filiale d'assurance des grands risques industriels. " Qu'ils soient dus à des attaques comme celle de WannaCry, ou plus fréquemment aux défaillances de systèmes, les incidents cyber sont une cause majeure d'interruption d'activité pour les entreprises, toujours plus en réseau, dont les principaux actifs sont souvent les données, les plateformes de services ou encore leurs clients et leurs fournisseurs. " Peut-être parce que l'attaque sans précédent WannaCry a touché des entreprises françaises, dont Renault, le risque cyber est aussi pris très au sérieux en France : il est cité par
46 % des sondés (contre 27 % un an plus tôt), juste derrière l'interruption d'activité (47 %).
" À l'ère de l'industrie 4.0, alors que les entreprises dépendent de plus en plus du numérique pour gérer leurs chaînes logistiques, elles doivent faire face à une nouvelle menace, l'interruption d'activité après une cyberattaque ", relève Corinne Cipière, CEO d'AGCS France.
Dans d'autres pays, la crainte est encore plus élevée. Dans la région Amériques, le risque cyber est même désormais n° 1 (cité par 42 % des sondés contre 31 % un an auparavant). Idem en Australie, en Inde, à Singapour, et dans plusieurs pays européens :
Autriche (70 %), Royaume-Uni (60 %), Belgique (43 %). " Le risque d'événements appelés "cyber ouragans", au cours desquels des
hackers perturbent un grand nombre d'entreprises en visant leurs infrastructures communes, continuera d'augmenter en 2018 ", pointe l'étude d'Allianz.
LE PRINCIPAL DANGER À LONG TERME
Si le risque cyber dans son ensemble est " le risque le plus sous-estimé et le principal danger à long terme " selon l'assureur, les entreprises européennes auraient tendance à en minimiser certains aspects. " Par rapport aux États-Unis, où la réglementation est déjà stricte, en Europe les entreprises sont moins sensibilisées aux risques pour la vie privée ", estime Emy Donavan, directrice mondiale de l'assurance cyber chez AGCS. " Nombre d'entre elles comprendront vite, lorsque le RGPD [Règlement général sur la protection des données, qui entre en vigueur dans toute l'UE en mai prochain, ndlr] sera pleinement applicable, que les questions de confidentialité peuvent engendrer des coûts élevés. L'expérience a montré que la gestion d'une crise cyber telle qu'une intrusion a un impact direct sur les coûts, mais aussi sur la réputation et la valeur boursière d'une entreprise. Ce sera encore plus le cas avec l'application du RGPD ".
Plusieurs secteurs ont placé le risque cyber en tête de leurs préoccupations depuis quelques années, notamment ceux de la technologie elle-même (59 %) et des télécoms (77 % contre 60 % un an plus tôt). Il est intéressant de noter qu'il a grimpé en flèche dans le secteur de la finance (51 % des sondés, contre 40 % l'année précédente), devançant les évolutions de marché (concurrence accrue, nouveaux entrants, fusions et acquisitions, etc.) et les changements réglementaires, n° 2, mais cités par seulement 28 % des sondés. L'assureur relève par ailleurs que le risque cyber peut être différent en fonction de la taille des entreprises : " Les petites entreprises peuvent être compromises si elles font l'objet d'une attaque par ransomware, tandis que les grandes entreprises sont généralement visées par des menaces d'une autre envergure, comme les attaques par déni de service, qui peuvent perturber gravement les systèmes ", observe Emy Donavan. Mais la prise de conscience est là : " La sensibilisation aux risques cyber dans les PME progresse, avec un saut important de la 6e à la 2e place pour les petites entreprises, et de la 3e à la 1 place pour les entreprises moyennes ", souligne le baromètre.
DATE-CHARGEMENT: February 7, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: En 2017, le rançongiciel WannaCry a livré une attaque majeure, notamment contre des entreprises françaises.
iStock
TYPE-PUBLICATION: Magazine
Copyright 2018 La Tribune
Tous droits réservés
40 of 500 DOCUMENTS
La Tribune - Objectif Aquitaine
Jeudi 8 Février 2018
Pourquoi Kumbu mise sur le marché émergent des souvenirs numériques
AUTEUR: Pierre Cheminade
RUBRIQUE: INNOVATION
LONGUEUR: 1033 mots
ENCART: Eclatée entre Bordeaux, Paris, Lyon et Montpellier, Kumbu est une jeune pousse résolument dématérialisée dont le business model vise paradoxalement la sécurisation, voire même la re-matérialisation, de nos vies numériques. Blogs, réseaux sociaux, articles, albums photos : cette startup vous propose de sauvegarder tous vos souvenirs numériques. Après 500.000 EUR en 2016, l'équipe de Kumbu espère lever jusqu'à 5 MEUR cette année pour s'affirmer sur ce marché balbutiant qui reste à construire.
"Oui, c'est un pari risqué !", reconnaît d'emblée Ziad Wakim, le PDG de Kumbu, avant d'affirmer clairement ses ambitions : "On fait le pari générationnel que de plus en plus d'internautes souhaiteront sauvegarder leur vie numérique. On se lance sur un nouveau marché et on veut être le premier acteur et le plus gros !" Lancée fin 2016 en bêta fermée puis au printemps 2017 pour le grand public, Kumbu est une extension pour navigateur (*) qui permet en un seul clic d'enregistrer tout type de contenu numérique (texte, photo, vidéo, page internet, post d'un réseau social, etc...) dans un espace cloud sécurisé et personnalisable. Le service est entièrement gratuit. Modèle freemium et re-matérialisation L'équipe de six salariés - répartis entre Bordeaux, Paris, Lyon et Montpellier - vit pour l'instant grâce aux 500.000 EUR levés à l'été 2016 auprès de business angels. De quoi financer le prototypage du produit, le premier volet de prospection de clients et l'exploitation des retours du millier d'utilisateurs actifs actuellement. Une feuille de route qui tiendra jusqu'en novembre prochain. D'ici là, Kumbu doit donc bâtir un modèle économique suffisamment solide. Trois axes sont envisagés de manière complémentaire :
"Le premier, c'est la tarification directe avec un modèle freemium. On proposera de payer un espace de stockage supplémentaire et différents services associés avec un prix d'appel qu'on imagine autour de 24 EUR/an", détaille Ziad Wakim. Le deuxième, c'est la transformation de ces souvenirs en objets physiques ou digitaux haut-de-gamme que les utilisateurs sont prêts à valoriser. Cela pourrait être des livres-photos, de beaux objets ou des impressions 3D. Enfin, le troisième axe correspond à l'intégration de Kumbu directement dans des plateformes tiers moyennant rémunération." Tous ces services seront proposés sans aucune publicité. "La philosophie même de Kumbu nous interdit d'utiliser les données de nos utilisateurs pour de la publicité ciblée. Les données sauvegardées chez nous sont cryptées, nous n'y avons pas accès et elles restent la propriété de chaque utilisateur", assure Arnaud Bressier, le directeur marketing, installé à l'espace Coolworking à Bordeaux. C'est ici que Kumbu envisage de développer son pôle marketing et communication dans les années qui viennent.
Ziad Wakim, à gauche, est installé à Paris tandis qu'Arnaud Bressier, à droite, a choisi Bordeaux et les locaux de Coolworking, aux Quinconces (Crédits : Kumbu). Concrètement, les données européennes sont stockées en France, chez OVH, tandis que pour le reste du monde, il s'agit de serveurs Amazon aux Etats-Unis. "Les données sont cryptées et sauvegardées en silos sur trois serveurs différents. Les utilisateurs peuvent les télécharger à tout moment", poursuit Arnaud Bressier qui met en avant un dispositif en tous points compatible avec le règlement européen sur la protection des données (RGPD). C'est d'ailleurs l'un des arguments commerciaux de Kumbu, selon le directeur marketing : "De nombreuses plateformes européennes ne sont pas préparées au RGPD et sont intéressées par nos services qui respectent toutes ces problématiques." 5 MEUR en ligne de mire L'équipe de Kumbu ambitionne de passer de 1.000 utilisateurs actifs en 2018 à 10.000 en 2019 puis 100.000 en 2020. "Cela peut paraître énorme mais plusieurs interlocuteurs, notamment nord-américains, estiment que l'on ne voit pas assez grand !", relativise Ziad Wakim. La startup vise un marché, certes émergent, mais mondial, condition de sa future rentabilité. Tout est développé en anglais depuis l'origine du projet dont les utilisateurs se répartissent à parts égales entre l'Europe, l'Amérique du Nord et le reste du monde. Initiée en novembre dernier, une nouvelle levée de fonds est donc en cours avec l'objectif d'aboutir en juin prochain à un tour de table de 2 à 5 MEUR :
"Nous discutons avec des fonds d'investissement européens et américains. On vise entre 2 et 5 MEUR sachant que si la levée de capital se fait aux Etats-Unis, les montants seront plus élevés", précise le PDG de 39 ans. "C'est l'une des limites du système startup en France : il manque encore d'acteurs de capital-risque capables de soutenir des projets sur des montants aussi importants et de prendre des décisions aussi rapidement. Mais c'est en train de changer." Ziad Wakim se montre ainsi plutôt confiant sur le succès de cette levée de fonds en termes de montant, qui permettra d'étendre plus rapidement le marché et de développer de nouvelle options, mais il s'interroge plutôt sur le profil du ou des futurs investisseurs. "Nous tenons particulièrement à trouver un investisseur qui soit en phase avec notre projet et nos valeurs s'agissant des données personnelles notamment. C'est probablement le critère qui sera déterminant pour nous", insiste-t-il. D'autant que Kumbu devra aussi démontrer la pertinence d'une entreprise lucrative sur un marché naissant où plusieurs acteurs se positionnent sur une logique d'open source gratuite et collaborative. Pour Ziad Wakim, c'est une certitude : "Il y a une place pour une société privée à condition qu'elle soit responsable et transparente !" Deux défis de taille Kumbu aura ensuite à surmonter deux difficultés de taille. Valider son modèle économique, d'une part, avec une rentabilité espérée à l'horizon 2021 ou 2022. Et trouver sa clientèle, d'autre part : "Nous sommes dans une situation particulière parce que nous ne nous battons pas contre des concurrents mais avec notre capacité à convaincre de l'utilité de notre service", observe Arnaud Bressier qui assure que Kumbu, contrairement à ce que l'on pourrait penser, vise avant tout les utilisateurs d'internet non technophiles. "La moitié de nos utilisateurs actifs ont plus de 50 ans et beaucoup n'avaient jamais installé une extension de navigateur. Tout notre service est pensé pour être le plus simple possible." Principal motif d'optimisme : la cible visée par Kumbu correspond environ à 80 % des internautes dans le monde. Il ne reste plus qu'à les convaincre. ---- (*) L'extension est disponible sur Chrome et le sera en mars sur Firefox. Une application iOS et Android, actuellement en bêta fermée, doit être lancée fin mars.
DATE-CHARGEMENT: 8 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBOA
Copyright 2018 La Tribune
Tous droits réservés
41 of 500 DOCUMENTS
Le Monde.fr
Jeudi 8 Février 2018
«Les internautes réclament un usage moins opaque et une maîtrise de leurs données personnelles»
AUTEUR: Collectif
LONGUEUR: 977 mots
Par Judith Rochfeld (Professeur à Paris-I), Joëlle Farchy (Professeur à Paris-I), Paula Forteza (Députée LRM, rapporteure pour la commission des lois sur le projet de loi sur la protection des données personnelles) et Valérie Peugeot (Chercheuse et présidente de l'association Vecam)
Tribune. Sur la base du constat largement partagé de l'importance des données personnelles dans une économie numérique en pleine transformation, l'idée, ancienne, d'un droit de propriété accordé aux individus a fait récemment l'objet d'un regain d'attention médiatique.
Cette proposition qui affiche pour ambition de donner à l'internaute un pouvoir de négociation face aux géants du numérique ne résout en réalité aucun des problèmes posés. Au moment où se débat à l'Assemblée nationale le projet de loi sur la protection des données personnelles, ne tombons pas dans le piège des fausses bonnes idées.
Propriété de personne
Aujourd'hui, ces données ne sont la propriété de personne, ce qui autorise leur collecte et leur traitement sous réserve du respect du droit des individus. Dans l'hypothèse de l'instauration de droits de propriété, la question de savoir qui serait titulaire de droits est loin d'être simple.
Qui serait propriétaire de mes «likes» sur le mur de mes amis sur Facebook, eux ou moi? Qui serait propriétaire des données de mon tensiomètre connecté prescrit par mon médecin? Ce dernier, le fabricant du tensiomètre, moi en tant que patient, la Caisse nationale d'Assurance-maladie ou encore la recherche médicale publique?
Du point de vue de l'analyse économique, quel que soit le titulaire initial de ce droit, dans la mesure où des transactions seraient possibles, le marché permettrait de les attribuer in fine aux agents économiques les mieux à mêmes d'en tirer profit.
Dans le cas des données personnelles, le droit de propriété bénéficierait alors aux organisations qui sont à même de recueillir, traiter et analyser les données et qui leur donnent une valeur plus qu'aux internautes soit, finalement, l'effet inverse de celui recherché d'un rééquilibrage des pouvoirs.
Valeur d'usage etvaleur monétaire
Les modèles économiques de l'exploitation de données profitent aujourd'hui en effet plus aux collecteurs qu'aux individus. Mais les partisans du tout propriétaire confondent valeur d'usage et valeur monétaire. Les données personnelles d'un individu ont une valeur d'usage pour lui - son graphe social lui parle de ses sociabilités, ses tickets de caisse de son mode de consommation -, et pour l'entreprise - elle améliore sa relation client.
Mais leur valeur monétaire ne se révèle à cette dernière qu'une fois agrégées à celles de milliers d'autres utilisateurs. Toutes les start-up qui se sont essayées à construire des services sur une commercialisation individuelle des données ont échoué: le revenu annuel généré par utilisateur est trop faible.
Mais l'essentiel est ailleurs. Ne regarder les données qu'au simple prisme économique, c'est oublier qu'elles ne sont pas un bien assimilable à une ressource matérielle ou immatérielle mais qu'elles sont d'abord le fruit de nos interactions avec des services, avec des objets connectés et de nos sociabilités liées à nos échanges sur les médias sociaux, à nos communications interpersonnelles. En cela les données parlent de nous, mais aussi de nos proches, du monde qui nous entoure. Elles sont tout à la fois intimes et sociales.
Pour aborder conjointement maîtrise de ces données particulières et innovations numériques en mettant à distance la question de la propriété il faut penser en termes de droits de l'individu à son autodétermination, impliquant qu'il puisse décider des usages qu'il accepte de laisser à une pluralité d'acteurs. Le tout conduit à des «faisceaux de droits» souples et variés.
Plus que la propriété de leurs données, ce que réclament les internautes c'est en effet un usage moins opaque et une maîtrise de ces données dans un cadre respectueux de leur vie privée et non discriminant. Les risques et dommages d'une perte de contrôle sur ses données personnelles sont à la fois réels et connus. Pour autant, ces dommages et leur possible réparation ne se situent pas sur le plan d'un bien, mais de la personne.
Société numérique plus éthique
Pour protéger la vie privée, les logiques de responsabilités existent déjà dans les différents systèmes juridiques, sans qu'il soit pour autant pertinent de proclamer une propriété des individus sur eux-mêmes. Le Règlement européen sur les données personnelles (RGPD) qui entrera en vigueur en mai constitue un premier outil essentiel pour donner à la France et à l'Europe un modèle de société numérique à la fois plus éthique et plus compétitive par rapport au reste du monde.
Il accentue en effet la logique de responsabilisation des organisations, renforce les droits des individus et en crée de nouveaux, notamment le droit à la portabilité des données. Celui-ci réintroduit de la concurrence puisque l'utilisateur peut désormais migrer vers un service moins «prédateur» de ses données.
Conscientes des enjeux pour l'avenir de leurs modèles économiques, les entreprises sont donc incitées à intégrer le respect des données personnelles de leurs utilisateurs dans leurs stratégies et à le faire apparaître comme une caractéristique concurrentielle discriminante.
Ce n'est pas le moindre des paradoxes que de voir les chantres d'une idée qui se proclame libérale afficher un tel manque de confiance dans des solutions qui pourront être négociées entre l'ensemble des acteurs, sans un quelconque recours à l'instauration de droits de propriété.
Les signataires: Judith Rochfeld (Professeur à Paris-I), Joëlle Farchy (Professeur à Paris-I), Paula Forteza (Députée LRM, rapporteure pour la commission des lois sur le projet de loi sur la protection des données personnelles) et Valérie Peugeot (Chercheuse et présidente de l'association Vecam).
DATE-CHARGEMENT: 8 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Monde
Tous droits réservés
42 of 500 DOCUMENTS
Le Cercle
jeudi 8 février 2018
RGPD : pas de droit à l'oubli pour le droit à l'oubli
AUTEUR: Jean-Michel Franco
RUBRIQUE: ARTICLE; De la théorie à sa mise en application
LONGUEUR: 904 mots
ENCART: Le Règlement européen sur la protection des données (RGPD) renforce considérablement les droits des personnes à disposer de leurs données.
De manière très concrète, dès le 25 mai, jour de son entrée en vigueur, toute personne résidant dans l'Union européenne et dont une organisation détient des données personnelles pourra invoquer les différents articles du Chapitre 3 du règlement, tels que le 17 (effacement, ou droit à l'oubli) ou le 20 (portabilité des données) du RGPD et avoir ainsi le contrôle sur ses données.
Ces mesures visent à redonner aux personnes le pouvoir sur leurs données personnelles. Refuser ou faillir à y répondre expose les entreprises défaillantes aux peines administratives maximales du RGPD c'est-à-dire au moins 20 millions d'euros, et au plus 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent.
Que se passera-t-il donc si à partir du 25 mai prochain, des centaines de personnes soumettent ce type demande à la même organisation ? Sera-t-elle en mesure d'y répondre, ou, à défaut, quelle sera sa réponse aux autorités de régulation, ainsi qu'à ses clients ?
De la prise de conscience à l'action
Beaucoup d'études ont mis en évidence les challenges opérationnels liés au respect de RGPD. Ceux liés aux droits d'accès des personnes apparaissent en tête de liste. C'est lié à leur caractère stratégique, puisque leur non-respect représente non seulement un risque financier, mais aussi un risque lié à la relation client et à la réputation de l'organisation. Mais c'est aussi leur mise en oeuvre opérationnelle qui pose problème, notamment pour ce qui concerne le droit à l'oubli et la portabilité des données.
Dans une étude Deloitte, 64 % des organisations déclarent n'avoir aucune idée du nombre de requêtes qu'elles recevront de leurs clients, prospects ou employés. Elles pourraient être nombreuses, à l'image des 386 038 demandes reçues par Google en l'espace de 18 mois, faisant suite à une décision de la Cour de justice de l'Union européenne (CJUE) pour la mise en place d'un formulaire de "droit à l'oubli" numérique.
Pour le RGPD, l'activation des droits des personnes suscitera-t-elle un tel engouement ? On peut l'anticiper, comme le montre une enquête où 82 % des consommateurs européens estiment qu'ils tireront volontiers parti de leurs nouveaux droits. Face à cette appétence du consommateur, les entreprises semblent y opposer une résistance, puisque seulement 11 % des entreprises prévoient d'automatiser les réponses aux demandes de droit à l'oubli. Les autres n'ont soit tout simplement pas prévu de respecter la réglementation (21 %), soit comptent procéder manuellement au traitement de chaque requête, que ce soit de manière organisée (42 %) ou ad hoc (26 %).
De tels résultats laissent perplexe, tant en termes de gestion de la relation client que du fait des coûts engendrés par ce traitement artisanal, mais aussi en termes de sécurité puisqu'un traitement ad hoc nécessiterait sans doute de donner à un groupe de personnes l'accès exhaustif à des données sensibles.
De la théorie à sa mise en application
La mise en oeuvre d'un système d'information pour y parvenir s'impose donc. De manière générale, on estime que le chantier IT représente entre la moitié et les deux tiers des coûts du nouveau règlement. À ce titre, l'intitulé de la réglementation est trompeur, car il laisse entendre que la majorité de l'effort consiste à protéger les données, alors que l'enjeu c'est aussi de désenclaver les données. La plupart des organisations n'ont pas une vue exhaustive et intégrée de leurs données client. Or, imaginez votre réaction si, aussitôt après avoir exercé votre droit à l'oubli auprès d'un de vos prestataires, vous receviez un e-mail de promotion sur un tout nouveau produit du fait de l'incapacité du prestataire à avoir procédé à l'effacement de vos données en intégralité ?
Disposer d'une vue à 360 ° des clients et employés est donc un prérequis pour la conformité avec les droits des personnes. La très grande majorité des organisations ne disposent pas encore de cette vue à 360 °, le temps est donc compté pour la mettre en oeuvre. Le data lake est l'environnement moderne pour y parvenir au plus vite.
Regagner la confiance des consommateurs
L'enjeu du RGPD, c'est d'établir une relation de confiance autour des données personnelles. Une façon d'y arriver est de permettre aux utilisateurs de reprendre la main sur leurs données. Certaines entreprises en ont saisi les enjeux, au point de faire de leur portail d'accès aux données personnelles un axe clé de leur communication, comme l'a fait récemment Facebook à Bruxelles, ou à l'instar du Grand Lyon, de la MAIF, d'Orange et de quelques autres, autour de la Fing et de son projet MesInfos. Mais c'est l'exception plutôt que la règle. Face aux lois en vigueur qui autorisaient déjà certains droits d'accès, la plupart des entreprises répondent par des mécanismes d'un autre âge, par exemple en contraignant leur client à envoyer un courrier postal à leur service juridique pour obtenir une copie, sur papier, de leurs données personnelles.
RGPD met la barre réglementaire bien plus haut. Mais surtout, elle met en évidence les nouvelles exigences des clients, citoyens et employés, face à leurs données personnelles dans un monde numérique. Au-delà des risques financiers, l'impact d'un non-respect des droits sur leurs relations client l'est encore plus. Finalement, le RGDP est une parfaite opportunité pour permettre à l'entreprise de se rapprocher de ses clients, qui n'auront alors aucune raison d'exercer leur droit à l'oubli.
DATE-CHARGEMENT: 9 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
43 of 500 DOCUMENTS
LePoint.fr
Jeudi 8 Février 2018
Protection des données personnelles : ce règlement qui inquiète les entreprises
AUTEUR: Laurence Neuer
RUBRIQUE: MON PETIT DROIT M'A DIT
LONGUEUR: 2272 mots
ENCART: Le nouveau règlement européen expose les entreprises et acteurs du Net à de lourdes sanctions financières. Quels en sont les enjeux ? Comment s'y préparer ?
Les entreprises devront, d'ici le 25 mai 2018, être « RGPD compliant », autrement dit, s'être mises en conformité avec le Règlement général sur la protection des données des résidents de l'UE (RGPD). Ce texte européen renforce considérablement les droits des citoyens en leur donnant une plus grande visibilité sur leurs données et une meilleure maîtrise sur l'utilisation qui en est faite. Il impacte l'ensemble des acteurs proposant des biens et services sur le marché européen, du micro-entrepreneur au grand groupe en passant par les associations et organismes publics. Et l'enjeu, pour ces entreprises, dont beaucoup sont encore à la traîne, est de taille ! Lire aussi L'exemple du fichier des salariés... L'employeur n'a pas à demander l'accord des salariés pour traiter leurs données.
Il devra néanmoins les informer de l'existence d'un « traitement » et des données qu'il contient. « Jusqu'à présent, cette obligation n'était quasiment jamais respectée, Elle est désormais généralisée et lourdement sanctionnée puisque l'amende peut aller jusqu'à 4 % du CA de l'entreprise », précise l'avocat Marc-Antoine Ledieu, associé du cabinet Bardehle Pagenberg. Ce n'est pas tout : l'employeur devra aussi indiquer à ses salariés sur quel fondement légal il traite leurs données. « Le RGPD prévoit plusieurs bases juridiques possibles, en l'occurrence, pour le fichier des salariés, la base adéquate pourrait être l'exécution d'un contrat (de travail) et le respect d'une obligation légale (qui consiste dans la transmission de ces informations aux caisses de retraite, d'assurance maladie, etc.) », ajoute l'avocat. L'information des salariés porte aussi sur les droits dont ils disposent, à commencer par leur droit d'accès aux données. « Le salarié pourra exiger de son employeur qu'il lui adresse une copie intégrale de ses données », prévient Me Ledieu. Et ce document devra préciser la nature des données traitées, la finalité du traitement, la durée de conservation des données, leur localisation, etc. Moyen de pression Le salarié dispose par ailleurs d'un droit de rectification et d'un droit d'opposition à la prospection et au profilage. « Il peut s'opposer à tout traitement de données qui n'est pas destiné à la gestion de son contrat de travail et de sa carrière dans l'entreprise, par exemple un scoring de profilage pour l'évaluation de ses performances professionnelles. Cet article 21 du RGPD est un véritable tremblement de terre pour les entreprises qui ont l'obligation d'effacer la partie du traitement des données que le salarié refuse », souligne Me Ledieu. Par ailleurs, les données sensibles qui, par exemple, révèlent l'origine raciale, les convictions religieuses philosophiques ou l'orientation sexuelle des salariés, ne peuvent faire l'objet d'aucun traitement, sauf consentement « explicite » des personnes concernées, précise le règlement. Et si le RGPD devenait une arme ou un moyen de pression juridique en cas de conflit avec l'entreprise ? « C'est déjà le cas, relève François-Pierre Lani, avocat associé au cabinet Derriennic Associés. Il arrive que des salariés invoquent, souvent avec succès, la non-conformité des éléments de preuve issus de fichiers non conformes à la loi informatique et libertés pour faire rejeter les arguments de l'employeur qui refuse de payer leurs heures supplémentaires. En prévision du RGPD, des entreprises commencent à recevoir de la part de salariés, de syndicats et d'institutions représentatives du personnel, des demandes de notification de la conformité de l'entreprise au RGPD. Elles portent, par exemple, sur les outils qui seront mis en place pour faire valoir leurs droits d'accès et de rectification. » L'exemple des fichiers clients traités par les plateformes de vente en ligne Les sites marchands qui traitent les données postales et bancaires des acheteurs n'ont pas à leur demander leur accord préalable s'agissant, en principe, d'un « traitement de données sans consentement » (autre fondement légal prévu par le règlement). « L'entreprise doit néanmoins informer ses clients de l'existence d'un tel traitement et leur notifier leur droit d'accès et de rectification de leurs données, ainsi que leur droit d'opposition à prospection et profilage, note Me Ledieu. Mais attention, dès lors que mon fournisseur de shampoing veut me vendre des algues pour le bain, je redeviens son prospect, ce qui implique un nouveau traitement de données basé par exemple sur les intérêts légitimes de l'entreprise. Ce concept anglo-saxon, repris dans le RGPD, autorise la prospection commerciale sans le consentement des intéressés, jusqu'à l'exercice du droit d'opposition du prospect. Cela vaut bien sûr pour nous, avocats qui adressons des newsletters à nos clients. » L'internaute devra néanmoins être en mesure de s'opposer au traitement de ses données (via un lien de désabonnement pas exemple). Si tel est le ce cas, l'entreprise devra effacer immédiatement les données de prospection de sa base de données. « Les entreprises vont devoir effacer beaucoup de données, mais ce n'est qu'à cette condition que la confiance avec les consommateurs pourra se recréer, assure l'avocat. Dès lors que l'entreprise nous abordera de la sorte Cher prospect, si vous acceptez de recevoir mes offres et mes conseils, cochez la case "oui". En échange du traitement de vos données, vous aurez un contenu personnalisé. Le jour où vous souhaitez que cela cesse, il vous suffit de vous désabonner tout ira mieux ! » Fini l'affichage personnalisé imposé Comment les sociétés qui pistent l'internaute dès que sa souris s'aventure sur l'écran, et qui utilisent ses données de navigation pour le profiler et lui faire des « recommandations » vont-elles redresser le tir ? Le traitement de ces données de navigation est « nécessaire aux intérêts légitimes de l'entreprise », dit le RGPD, soucieux de préserver l'équilibre entre les nécessités du commerce et les droits des personnes. Mais ces dernières doivent avoir la possibilité de refuser ces recommandations et l'entreprise devra respecter ce choix. Autrement dit, « le prospect se verra proposer des recommandations ou des publicités, mais celles-ci ne pourront pas prendre en compte les data qui permettent de les personnaliser. Ce sera alors de l'affichage standard et générique, comme les publicités sur les panneaux d'affichage dans les rues », explique Me Ledieu. Moteurs de recherche Nombre d'internautes s'interrogent sur la façon dont les rois de la « data » comme ou vont appliquer le RGDP. Google est actuellement poursuivi (notamment) par L'UFC que choisir pour non-respect de la loi informatique et libertés. L'association de défense des consommateurs lui reproche d'entretenir ses utilisateurs dans un flou artistique quant à l'utilisation de leurs données et aux ciblages qui en découlent. « Par la seule utilisation du service, on adhère à des règles dont on n'a pas conscience. L'internaute autorise le moteur de recherche, par le jeu des cookies, à le cibler et à revendre ses données de navigation à des sociétés qui font de la publicité sur Internet, relève Me Lani. Je vous mets au défi d'aller trouver dans le service Google les options de confidentialité que Google assure avoir mis en place pour circonscrire l'exploitation de nos données ! » En clair, la plateforme a de grands efforts à fournir pour devenir RGPD compatible. « Elle devra permettre à l'internaute d'effacer facilement toutes les traces laissées durant la navigation, et mettre en place des outils simples et accessibles pour faire valoir son droit d'opposition au profilage, etc. », précise Me Lani. Une règle qui s'applique aussi aux réseaux sociaux qui « n'offrent pas encore les garanties suffisantes à l'internaute quant au recueil de son consentement explicite sur le traitement de ses données personnelles », assure l'avocat. Les grandes lignes du règlement - Principe de minimisation : la collecte des données doit se cantonner au strict nécessaire. Exemple : un vendeur de produits cosmétiques n'a pas à savoir si son client est un amateur de séries télévisées. - Recueil du consentement de l'utilisateur (dans les cas où il est obligatoire, par exemple pour le recueil de données sensibles) : il doit être effectué par type d'usage et non de manière globale. Le consentement recueilli doit être explicite. - Mise en place d'outils permettant à l'utilisateur d'exercer son droit d'accès aux données, son droit de les rectifier, son droit de s'opposer à certains types de traitements (profilage par exemple), son droit à la portabilité des données, qui lui permet de récupérer toutes les données communiquées à une plateforme (réseau social, site marchand, site de streaming...) soit pour les conserver, soit pour les transférer vers autre opérateur (une autre application par exemple). - Privacy by design : l'entreprise doit dans la mesure du possible intégrer la protection de la vie privée dès la conception du logiciel ou du service et mettre en place les outils adéquats pour préserver la liberté de choix de l'utilisateur : possibilité de cocher ou décocher la géolocalisation dans un smartphone, bouton sur une enceinte connectée signalant qu'elle est allumée et enregistre les conversations... - Accountability ou auto-responsabilisation : il appartient à l'entreprise de prendre toutes les mesures nécessaires pour remplir ses obligations de protection des données, et être capable de le démontrer à tout moment. À cet effet, elle devra tenir un registre recensant les catégories de données traitées, les finalités du traitement, les pays où elles sont transférées, la durée de conservation, etc. Elle devra aussi pour certaines d'entre elles (traitement de données à grande échelle) désigner un délégué à la protection des données (DPO) dédié au contrôle de la conformité au GDPR. « Ce dernier va, par exemple, s'assurer que le DRH n'a pas conservé des fichiers de CV datant de plus de 2 ans ou que le système de pseudonymisation des données est effectif », explique l'avocat Gérard Haas, auteur de « Le RGPD expliqué à mon boss » (Éditions Kawa). - Security by default : l'entreprise doit prendre les mesures nécessaires pour sécuriser les données, « notamment par le chiffrement ou la pseudonymisation. Elle doit aussi mettre en place des outils de détection de failles de sécurité, car elle a l'obligation de notifier ces failles à la personne concernée et à la Cnil », précise François-Pierre Lani. Elle doit aussi être en mesure de déceler les failles affectant ses fichiers. - Droit à l'oubli numérique : le droit à l'effacement des données est le pendant du droit au déréférencement d'une information ou d'un lien par un moteur de recherche. La personne peut s'adresser directement au responsable de traitement dans le cas, par exemple, où l'entreprise a conservé ses données plus longtemps que nécessaire au vu des finalités annoncées. « Ce droit à l'effacement n'est pas absolu, par exemple, un salarié ne peut pas exiger de son ancien employeur qu'il efface ses données immédiatement après son départ, ce n'est qu'au bout de 5 ans qu'il doit les avoir purgées pour les traitements de la paie ou le contrôle des horaires », nuance Me Lani. - Réparation des dommages et class action : Les associations dédiées à la protection des données pourront introduire des recours collectifs. L'objectif est de faire cesser le dommage causé par la violation du règlement. Un amendement examiné actuellement au parlement prévoit d'y ajouter la réparation du préjudice des personnes concernées. - Étude d'impact : cette obligation concerne les entreprises qui peuvent être amenées à traiter des volumes de données en masse, par exemple les fabricants des technologies des voitures autonomes. « L'objectif est d'évaluer l'impact d'un système innovant sur les données personnelles des personnes concernées. Par exemple, des caméras placées dans le véhicule autonome vont photographier les piétons, les plaques d'immatriculation, etc. qui sont des données personnelles. L'étude va prendre en compte l'interdiction de collecter ces données et proposer des moyens techniques, voire juridiques pour adapter le système. Par exemple, indiquer à quel moment on floute le visage des piétons », explique Me Lani. - Des amendes dissuasives en cas de manquement : l'entreprise encourt, selon le manquement constaté, jusqu'à 2 % ou 4 % du chiffre d'affaires mondial de l'entreprise dans la limite de 10 ou 20 millions d'euros. - Cette réglementation s'appliquera à toutes les entreprises, quel que soit l'endroit où elles se trouvent dans le monde, dès lors qu'elles traitent des données de personnes résidant sur le territoire européen. Les Gafam (Google, Amazon...) ne peuvent donc s'y soustraire. À savoir : fournit un certain nombre d'outils pratiques pour accompagner les entreprises dans leur mise en conformité
DATE-CHARGEMENT: 8 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Point
Tous droits réservés
44 of 500 DOCUMENTS
La Tribune
Mercredi 7 Février 2018
Pour une universalité (régulée) des données personnelles
AUTEUR: Arno Pons
RUBRIQUE: OPINIONS; Pg. 139
LONGUEUR: 888 mots
ENCART: Il ne faut pas appliquer les règles du capitalisme à la data mais plutôt celles de la politique en imaginant un « Wikipedia de la donnée personnelle » via une blockchain. Par Arno Pons, délégué général du think-tank « Digital New Deal Foundation » (*).
La récente proposition de Gaspard Koenig consistant à faire payer les données est très intéressante, mais à vrai dire peu efficiente car cela ne représenterait que quelques euros de rémunération par an.... Et surtout elle ne comprend pas la nature même de la révolution numérique qui est entièrement fondée sur la culture « free ». S'il est contre-productif et contre-nature de rémunérer la data, il est en revanche souhaitable de réguler son utilisation et utile de rétribuer ceux qui y contribuent. Dit autrement, ce qu'il faut ce n'est pas appliquer les règles du capitalisme à la data mais plutôt celles de la politique en imaginant une nouvelle forme de gouvernance. Un enjeu de plus en plus géopolitique La data est en effet un sujet majeur du XXIe siècle, et deviendra de plus en plus un enjeu géopolitique comme le fut le pétrole au siècle précédent. Ces précieuses données, et l'utilisation qui en découle, ne doivent donc surtout pas finir dans les mains d'un Etat malveillant ou devenir le carburant de sociétés monopolistiques vouées à concurrencer toujours plus les prérogatives des Etats-nations.
Songez un instant que l'Amérique transfère, volontairement ou non, les données stockées par la NSA à la Russie de Poutine, ou que le dirigeant d'une grande entreprise du net, tel Mark Zuckerberg, utilise les données collectées par sa firme à des fins politiques... La réalité dépassant de plus en plus la fiction, il faut impérativement réfléchir à une organisation internationale qui soit au rendez-vous de l'histoire. Si on ne veut pas que la data et son corollaire, l'Intelligence Artificielle, ne deviennent la nouvelle bombe H dont la prolifération échapperait à tout contrôle, il nous faut imaginer l'équivalent d'une ONU de la data. Créer une "Organisation mondiale de la Data" Nous devons pour cela tout d'abord étendre les droits de l'homme aux données qu'il engendre, car elles sont indivisibles de sa personnalité, et constitutives de sa citoyenneté. Cette nouvelle « déclaration des droits de l'homme, du citoyen et de ses données » devra faire l'objet d'un contrôle communautaire international via la création d'une nouvelle agence de l'ONU à l'instar de l'OMS. Cette « Organisation mondiale de la Data » aurait pour mission de suivre et réguler les données des internautes afin d'offrir aux États le pouvoir de les protéger (et ainsi globaliser l'initiative européenne de règlement général sur la protection des données - RGPD). Dans un monde où la désintermédiation déstabilise les équilibres, il est effectivement temps d'imaginer une gestion des données par une organisation internationale garante du bien commun. Face à la dimension mondiale des GAFA, BATX et autres géants du net, il faut établir un contre-pouvoir et utiliser pour ce faire la même arme qu'eux : le réseau ! Utiliser la blockchain Puisque le réseau est le nouveau paradigme de l'économie, et la confiance sa valeur étalon, alors utilisons ce même réseau pour contenir ces GAFA en utilisant la blockchain (ce protocole de la confiance peut en effet équilibrer et circonscrire le pouvoir des marques plateformistes en les prenant à leur propre jeu). Cela reviendrait à réveiller le pouvoir de la foule anonyme, génératrice inconsciente de données, en un peuple éclairé conscient de sa valeur. Cette nouvelle agence de l'ONU dédiée à la data pourrait alors monétiser politiquement cette chaîne de valeur (et non financièrement comme le propose Gaspard Koenig) en donnant la possibilité à un citoyen ou un Etat de vérifier à tout moment où la donnée est utilisée et à quelle fin. Une autre approche de la patrimonialité C'est une autre approche de la patrimonialité que celle proposée par le philosophe, les GAFA auraient certes l'usufruit des données produites sur leurs plateformes mais elles resteraient la nue-propriété du citoyen. Ces entreprises seraient alors comptables à tout moment de leur gestion, se verraient opposer un droit d'utilisation abusive, et le cas échéant seraient obligées de réintégrer l'usufruit pour que l'internaute retrouve la pleine propriété de ses données. La blockchain rémunérant les mineurs (nom donné aux internautes qui font ce travail de régulation) grâce à des monnaies virtuelles comme le Bitcoin, chaque internaute contributeur se verrait ainsi verser une sorte de revenu universel qui ne récompenserait pas sa passivité devant les écrans (comme le souhaite Génération Libre et les libertaires de la Silicon Valley), mais au contraire son activité régulatrice sur le réseau. En somme, ne nous contentons pas de créer un « nanomarché », et bâtissons plutôt les institutions du numérique. Ayons l'ambition de disrupter les relations internationales en créant la « datapolitique », première discipline en sciences-politiques de l'ère digitale... L'ONU aurait pu être à l'initiative de Wikipedia dans le cadre de la digitalisation des missions de l'UNESCO, à savoir l'accès universel au savoir de manière collaborative, décentralisée et totalement peer-to-peer. Une nouvelle opportunité se présente, elle doit être saisie avant qu'il ne soit trop tard : créer le « Wikipedia de la donnée personnelle » via une blockchain !
(*) Arno Pons, délégué général du think-tank « Digital New Deal Foundation », est directeur général de 5emeGauche-HerezieGroup, enseignant à SciencesPo.
Arno Pons. (917840.png)
DATE-CHARGEMENT: 6 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
45 of 500 DOCUMENTS
La Tribune - Objectif news - (Midi Pyrénées)
Mercredi 7 Février 2018
Ingénierie, informatique : quelles sont les entreprises qui recrutent à Toulouse ?
AUTEUR: Florine Galéron
RUBRIQUE: ENTREPRISES; SOCIAL
LONGUEUR: 862 mots
ENCART: Elles recrutent à tour de bras en 2018. Tour d'horizon des sociétés d'ingénierie et de services informatiques qui vont embaucher des dizaines voire des centaines de collaborateurs cette année.
En cinq ans, la Haute-Garonne a créé 14 fois plus d'emplois par rapport à la moyenne nationale ! En effet selon le dernier baromètre de l'Urssaf, le département qui englobe la métropole toulousaine a généré à lui seul près de 28 000 emplois entre 2011 et 2016, soit une croissance de 6,9% (contre 0,5% en moyenne en France). Portées par la dynamique du secteur aéronautique et spatial mais aussi de nouveaux besoins de services des entreprises en matière de Big data ou de gestion des données clients avec l'arrivée du RGPD, les entreprises d'ingénierie et de services informatiques vont beaucoup embaucher en 2018 à Toulouse. Alten : 650 postes Parmi les mastodontes du secteur figure Alten.
"Nous avons 750 postes ouverts en 2018 sur le Sud-Ouest dont 100 à Bordeaux et 650 à Toulouse. Nous travaillons bien sûr avec le secteur aéronautique mais aussi l'automobile, l'IT (technologies de l'information), le spatial, les énergies..., avance Leslie Carrasco, responsable recrutement et communication chez Alten Sud-Ouest. Il s'agit à 45% de postes de juniors, le restant cible des personnes qui ont plus d'expérience pour
encadrer les consultants mais aussi de la gestion de projet". Si Alten figure chaque année parmi les plus grands recruteurs de la région c'est aussi parce que comme toutes les sociétés d'ingénierie elle est confrontée à un turnover important de ses effectifs. "Nous essayons de fidéliser les collaborateurs en améliorant leur suivi", assure Leslie Carrasco. Assystem : 420 postes Assystem technologies annonce de son côté 420 recrutements à Toulouse, en grande majorité en CDI. "Ce sont à 60% des postes pour des jeunes diplômés avec 0 à 3 ans d'expérience, pour le reste nous recherchons des business managers, des responsables de gestion de projet", décrit Sabine Jacques responsable recrutement Sud Ouest. Au-delà des profils classiques (aéronautique, spatial, automobile), le groupe recherche des experts digitaux et Big data. Pour garder ses ingénieurs, Assystem technologies a investi 1,5 million d'euros dans un centre de formation aux métiers de l'aéronautique à destination aussi bien de ses propres équipes que de celles de ses clients ou partenaires. Lire aussi : Un nouveau centre de formation pour Assystem à Toulouse Scalian : 310 postes Le groupe d'ingénierie Scalian (ex-Eurogiciel) prévoit 310 recrutements à Toulouse cette année, majoritairement des ingénieurs, des développeurs, des architectes systèmes informatiques mais aussi des chefs de projet informatique, des cadres comptables et des gestionnaires de paie. Parmi les spécialités atypiques recherchées figure un poste d'ingénieur "serious games", un ingénieur développeur "big data cloud azure", un data scientist... CGI : 225 postes Du côté de CGI, 225 recrutements à Toulouse sont prévus en 2018.
"Nous recherchons des développeurs, des consultants, des chefs de projet. Les compétences recherchées sont J2EE, SOA, BI, transformation digitale, Agile Scrum, expertise métiers, détaille l'entreprise. Nous recrutons essentiellement des CDI, des contrats d'alternance à travers notre école du développeur, U'DEV, et nous réalisons également des reconversions Bac+3 à bac+5 via la préparation Opérationnelle à l'emploi (POE)". Celad : 170 postes La société d'ingénierie informatique Celad basée à Balma recrute 170 personnes cette année, tous en CDI. Il s'agit de postes d'ingénieurs dans différentes spécialités : "études et développement Java/JEE, .Net/C#, Php, Java/RCP, systèmes embarqués , électronique, systèmes et réseaux", précise Marine Forget, responsable recrutement de l'entreprise. Serma : 50 postes Au sein de Serma ingénierie Toulouse, une cinquantaine d'embauches sont programmées, toutes en CDI. "Nous recherchons des ingénieurs et techniciens en électronique (analogique, numérique, puissance). Nous avons également des postes ouverts pour des ingénieurs en logiciels embarqués et pour des ingénieurs en FPGA (circuits intégrés programmables)", indique Alexandre Savalli, responsable recrutement du groupe. MyFeelback : 10 postes Éditrice d'une solution d'enrichissement de la connaissance client, MyFeelBack annonce le recrutement dans le courant du premier semestre 2018, de dix nouveaux collaborateurs en CDI : quatre développeurs web, trois managers de comptes clients deux ingénieurs commerciaux experts en connaissance clients et un business developer. "Leur intégration au sein de la startup toulousaine passera par un programme de formation et d'accompagnement d'une durée de trois mois, qui leur permettra notamment de s'approprier les valeurs de l'entreprise", précise MyFeelBack. Val Software : 9 postes L'éditeur de logiciels Val Software a plusieurs postes à pourvoir : six postes en CDI pour des profils développeurs et consultants, trois postes en alternance principalement sur les même profils. "Nous recherchons des profils qui ont de solides connaissances techniques et qui idéalement ont déjà exercé à des postes similaires (pour les postes en CDI). Plus que des compétences nous cherchons également des personnes ayant la motivation et l'envie d'évoluer et d'apprendre", précise Anne-Clémence Abdelli, gestionnaire RH au sein de l'entreprise.
DATE-CHARGEMENT: 7 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBOB
Copyright 2018 La Tribune
Tous droits réservés
46 of 500 DOCUMENTS
Le Figaro
Mercredi 7 Février 2018
L'Assemblée examine la loi de protection des données ;
Ce texte modifie la loi informatique et libertés pour l'adapter au futur règlement européen (RGPD). Avec quelques originalités.
AUTEUR: Ronfaut, Lucie
RUBRIQUE: TECH; Pg. 25 N° 22858
LONGUEUR: 712 words
TECHNOLOGIE
Après l'Europe, c'est au tour de la France de légiférer sur les données personnelles. L'Assemblée nationale examine depuis mardi le projet de loi relatif à la protection des données personnelles. Ce dernier doit adapter le droit français à plusieurs textes européens, notamment le fameux RGPD, le règlement européen sur la protection des données personnelles. Ce dernier doit entrer en vigueur pour tous les pays de l'Union le 25 mai. Peu de temps, donc, et un calendrier serré pour le gouvernement. La rapporteure du texte, la députée LREM Paula Forteza, a été nommée fin novembre par la commission des lois. Le texte sera examiné deux jours par l'Assemblée nationale. Il passera ensuite au Sénat en mars et, normalement, doit être adopté d'ici au mois d'avril. Cette procédure accélérée s'achèvera dans six mois, par la publication de l'ordonnance modifiant la loi informatique et libertés de 1978, le texte qui réglemente actuellement la liberté de traitement des données personnelles en France.
De l'aveu de beaucoup d'acteurs concernés, le chantier n'est pas simple. La France s'est déjà dotée récemment d'un texte encadrant davantage le traitement des données personnelles, la loi pour une République numérique, adoptée en 2016. Cette fois-ci, néanmoins, il s'agit d'harmoniser les règles de la France en la matière avec tous les pays européens. Le projet de loi discuté à partir de mardi doit appliquer en droit français le « paquet européen de protection des données ». Ce dernier se compose de deux textes : le RGPD, qui pose un cadre général et applicable dans tous les pays européens, et une directive relative aux traitements de données dans le cadre de détection des infractions et de l'exécution de sanctions pénales. Toutes les entreprises traitant des informations de citoyens européens, qu'elles soient elles-mêmes situées en Europe ou non, y seront soumises. Les autorités de contrôle - la Cnil en France - seront dotées de nouvelles missions et d'un pouvoir de sanction accru contre les sociétés contrevenantes : les amendes pourront aller jusqu'à 4 % du chiffre d'affaires annuel mondial. Le RGPD prévoit aussi de nouveaux droits pour les consommateurs, comme celui de la portabilité des données, qui donne la possibilité de réutiliser ses informations personnelles à travers différents services en ligne, ou le droit à l'oubli sur les moteurs de recherche.
Différents amendements
Le texte présenté mardi aux députés précise aussi plusieurs points du RGPD dans le contexte français. La loi fixe par exemple l'âge de la « majorité numérique » des Français à 15 ans. Avant cette limite, tout traitement de données du jeune internaute devra être soumis à l'accord de celui-ci et de ses parents. Par ailleurs, la loi française veut autoriser les actions de groupes contre des sociétés qui traitent des données personnelles, en cas de manquement à leurs obligations, ou pour réparer un préjudice financier ou moral. Un amendement adopté en commission des lois prévoit enfin que la Cnil doit prendre en compte « les besoins spécifiques des micros, petites et moyennes entreprises » dans son rôle de contrôle et de sanction dans ce nouveau cadre. Sous-entendu, ne pas juger trop sévèrement les PME mais aussi les start-up. Dans une étude publiée fin 2017 par le Syntec numérique, seules 9 % des entreprises françaises déclaraient être déjà en conformité avec le RGPD, faute d'information et de moyens.
Parmi les autres amendements, non encore adoptés en commission des lois, on retrouve une proposition portée par le député Bruno Bonnell et Gaspard Koenig pour que les citoyens jouissent de la propriété intellectuelle de leurs données, permettant ainsi de les vendre. Un autre amendement exige des fabricants d'appareils électroniques qu'ils n'installent pas des services de communication en ligne qui « collectent et conservent tout ou partie des requêtes associées à des données personnelles de l'utilisateur ». Une disposition qui vise clairement Google et son moteur de recherche. Elle n'a pas été acceptée en commission, mais doit être présentée en séance publique.
Dans une étude publiée fin 2017 par le Syntec numérique, seules 9 % des entreprises françaises déclaraient être déjà en conformité avec le RGPD, faute d'information et de moyens
DATE-CHARGEMENT: 6 Février 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: ILLUSTRATION : VUE DE PARIS
Le projet de loi présenté mardi précise plusieurs points dans le contexte français, comme l'âge de la « majorité numérique » des Français à 15 ans. Avant cette limite, tout traitement de données du jeune internaute devra être soumis à l'accord de celui-ci et de ses parents.
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous droits réservés
47 of 500 DOCUMENTS
Le Figaro Économie
Mercredi 7 Février 2018
L'Assemblée examine la loi de protection des données
AUTEUR: Ronfaut, Lucie
RUBRIQUE: TECH; Pg. 25 N° 22858
LONGUEUR: 712 mots
TECHNOLOGIE Après l'Europe, c'est au tour de la France de légiférer sur les données personnelles. L'Assemblée nationale examine depuis mardi le projet de loi relatif à la protection des données personnelles. Ce dernier doit adapter le droit français à plusieurs textes européens, notamment le fameux RGPD, le règlement européen sur la protection des données personnelles. Ce dernier doit entrer en vigueur pour tous les pays de l'Union le 25 mai.
Peu de temps, donc, et un calendrier serré pour le gouvernement. La rapporteure du texte, la députée LREM Paula Forteza, a été nommée fin novembre par la commission des lois. Le texte sera examiné deux jours par l'Assemblée nationale. Il passera ensuite au Sénat en mars et, normalement, doit être adopté d'ici au mois d'avril. Cette procédure accélérée s'achèvera dans six mois, par la publication de l'ordonnance modifiant la loi informatique et libertés de 1978, le texte qui réglemente actuellement la liberté de traitement des données personnelles en France. De l'aveu de beaucoup d'acteurs concernés, le chantier n'est pas simple. La France s'est déjà dotée récemment d'un texte encadrant davantage le traitement des données personnelles, la loi pour une République numérique, adoptée en 2016. Cette fois-ci, néanmoins, il s'agit d'harmoniser les règles de la France en la matière avec tous les pays européens. Le projet de loi discuté à partir de mardi doit appliquer en droit français le « paquet européen de protection des données ». Ce dernier se compose de deux textes : le RGPD, qui pose un cadre général et applicable dans tous les pays européens, et une directive relative aux traitements de données dans le cadre de détection des infractions et de l'exécution de sanctions pénales. Toutes les entreprises traitant des informations de citoyens européens, qu'elles soient elles-mêmes situées en Europe ou non, y seront soumises. Les autorités de contrôle - la Cnil en France - seront dotées de nouvelles missions et d'un pouvoir de sanction accru contre les sociétés contrevenantes : les amendes pourront aller jusqu'à 4 % du chiffre d'affaires annuel mondial. Le RGPD prévoit aussi de nouveaux droits pour les consommateurs, comme celui de la portabilité des données, qui donne la possibilité de réutiliser ses informations personnelles à travers différents services en ligne, ou le droit à l'oubli sur les moteurs de recherche.
Différents amendements
Le texte présenté mardi aux députés précise aussi plusieurs points du RGPD dans le contexte français. La loi fixe par exemple l'âge de la « majorité numérique » des Français à 15 ans. Avant cette limite, tout traitement de données du jeune internaute devra être soumis à l'accord de celui-ci et de ses parents. Par ailleurs, la loi française veut autoriser les actions de groupes contre des sociétés qui traitent des données personnelles, en cas de manquement à leurs obligations, ou pour réparer un préjudice financier ou moral. Un amendement adopté en commission des lois prévoit enfin que la Cnil doit prendre en compte « les besoins spécifiques des micros, petites et moyennes entreprises » dans son rôle de contrôle et de sanction dans ce nouveau cadre. Sous-entendu, ne pas juger trop sévèrement les PME mais aussi les start-up. Dans une étude publiée fin 2017 par le Syntec numérique, seules 9 % des entreprises françaises déclaraient être déjà en conformité avec le RGPD, faute d'information et de moyens.Parmi les autres amendements, non encore adoptés en commission des lois, on retrouve une proposition portée par le député Bruno Bonnell et Gaspard Koenig pour que les citoyens jouissent de la propriété intellectuelle de leurs données, permettant ainsi de les vendre. Un autre amendement exige des fabricants d'appareils électroniques qu'ils n'installent pas des services de communication en ligne qui « collectent et conservent tout ou partie des requêtes associées à des données personnelles de l'utilisateur ». Une disposition qui vise clairement Google et son moteur de recherche. Elle n'a pas été acceptée en commission, mais doit être présentée en séance publique. Dans une étude publiée fin 2017 par le Syntec numérique, seules 9 % des entreprises françaises déclaraient être déjà en conformité avec le RGPD, faute d'information et de moyens
DATE-CHARGEMENT: 6 Février 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: ILLUSTRATION : VUE DE PARIS
Le projet de loi présenté mardi précise plusieurs points dans le contexte français, comme l'âge de la « majorité numérique » des Français à 15 ans. Avant cette limite, tout traitement de données du jeune internaute devra être soumis à l'accord de celui-ci et de ses parents.
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous Droits Réservés
48 of 500 DOCUMENTS
Acteurs publics
6 février 2018
Exclusif : l'autocontrôle des autorités administratives indépendantes jugé perfectible par la Cour des comptes
RUBRIQUE: ACTUALITES
LONGUEUR: 1106 mots
Cnil, HATVP, Haute Autorité de santé, défenseur des droits, contrôleur général des lieux de privation de liberté ou Autorité de contrôle des nuisances aéroportuaires : le corollaire de la liberté de gestion accordée à ces autorités administratives et publiques indépendantes (AAI et API) "devrait être un autocontrôle exigeant". Or celui-ci "n'est pas toujours observé". C'est le constat formulé par la Cour des comptes dans un rapport d'enquête présenté en commission des finances de l'Assemblée nationale mardi 6 février et qu'Acteurs publics a pu consulter.
Sans remettre en cause leur indépendance fonctionnelle, les magistrats financiers appellent ces autorités à encadrer davantage l'évolution de leurs dépenses. Et ce d'une part afin de "prévenir les risques d'une croissance non maîtrisée des effectifs et des dépenses de rémunération" et d'autre part, de "renforcer la cohérence et la soutenabilité de leur gestion".
Commandé en décembre 2016 par le président de la commission des finances du Palais-Bourbon d'alors, le Républicain Gilles Carrez, ce rapport d'enquête porte spécifiquement sur l'examen des politiques salariales et les rémunérations pratiquées sur la période 2011-2016 au sein de 12 autorités. Un échantillon jugé "représentatif" par la Cour des comptes. Depuis la publication d'une loi en janvier 2017, on ne compte en effet "plus que" 26 autorités de ce type (19 AAI et 7 API) contre 41 auparavant.
Rémunérations mal encadrées
Dans leur rapport, les magistrats financiers pointent notamment le faible encadrement des rémunérations au sein de ces autorités et en particulier de leurs dirigeants. Si les rémunérations (traitements indiciaires, indemnités de fonction) de leurs présidents et de leurs membres sont fixées "en principe" par des textes réglementaires (81 600 euros d'indemnités de fonction par an, notamment, pour la présidente de la Cnil), la Cour relève néanmoins que certaines situations appellent toujours des régularisations.
C'est le cas notamment du contrôleur général des lieux de privation de liberté (CGLPL), dont la Rue Cambon souligne "l'urgence" de la situation. Aucun arrêté indemnitaire fixant sa rémunération n'a ainsi "été mise en oeuvre". Celle-ci demeure actuellement fondée sur un contrat du 13 octobre 2014 déterminant son indemnité annuelle à 93 090 euros. À en croire une réponse du secrétaire général du gouvernement adressée à la Cour des comptes, la situation serait en passe d'être régularisée. Selon ce dernier, l'examen de textes visant à créer un véritable statut d'emploi de CGLPL et à fixer le montant annuel de sa rémunération serait actuellement en cours.
Un "cadre de gestion", déterminant les règles de rémunération des agents des autorités et leurs mesures de progression salariale n'a quant à lui "pas toujours été fixé" : à la HATVP, par exemple, les rémunérations sont proposées par le secrétaire général ou le responsable des affaires générales. Rares sont aussi les autorités où les rémunérations globales des personnels "font l'objet d'une présentation" à leurs organes délibérants. Le collège de l'Autorité de la concurrence siège en effet pour prendre des décisions ou avis mais ne participe pas au pilotage et aux décisions internes de l'institution, et ne débat donc pas des rémunérations en son sein.
Outils de suivi du temps de travail peu fiables ou inexistants
Le contrôle du temps de travail au sein de ces autorités est lui aussi "perfectible", juge la Cour. La situation qui prévaut par exemple à la Cnil en matière de temps de travail "déroge au droit commun et aux pratiques des autres services de l'État". La durée effective du travail y est ainsi "en moyenne inférieure à la durée légale", précisent les magistrats, sans fournir le détail de ce volume. "Le logiciel des temps, de conception ancienne et dépourvu de souplesse, entretient l'opacité et interdit tout croisement fiable de données", estime la Rue Cambon, tout en préconisant de confier à la direction des services administratifs et financiers (DSAF) du Premier ministre la gestion de ces temps, et ce dans le cadre du regroupement sur le site de Ségur (Paris) de plusieurs autorités administratives et de services du Premier ministre. Une hypothèse que rejette déjà la Cnil, celle-ci ayant effet notifié à la Cour son désaccord de principe.
D'autres autorités ne disposent quant à elles d'aucun outil de suivi du temps de travail effectif de leurs troupes. Les magistrats n'ont ainsi pas pu vérifier si la durée effective de travail au sein du CGLPL était effectivement respectée, faute d'outil de gestion dédié. Au contraire, cette autorité "privilégie un contrôle des résultats", via une application de suivi de l'élaboration des rapports de visites et de constats des lieux de privation de liberté. Son rapport d'activité ne comprend lui non plus aucunes statistiques sur le temps de travail en son sein.
Du côté de l'Autorité de contrôle des nuisances aéroportuaires (Acnusa), aucun système automatisé de contrôle du temps de travail n'est davantage mis en place. Les congés sont "demandés et autorisés via une fiche de suivi" et l'absence constatée est ensuite reportée sur un agenda partagé. "Un tableau de bord permet de s'assurer qu'un nombre suffisant d'agents est présent pendant les congés et particulièrement la période estivale", relève ainsi la Cour des comptes.
Indicateurs de performance et de besoins
Au titre des effectifs, la Cour juge "indispensable de mettre en place ou de faire évoluer" des indicateurs permettant de "mieux objectiver la réalité des besoins en personnels". Pour toute autorité administrative indépendante, "pourraient ainsi être mis en place un ou plusieurs indicateurs de performance se rapportant à son activité de régulation et/ou de contrôle", suggère la Rue Cambon.
Une exigence d'autant "plus forte" que le champ d'action d'une autorité administrative "s'étend" et influence par conséquent l'évolution de ses effectifs. Les plafonds d'emploi de la Cnil ont ainsi connu une forte évolution entre 2011 et 2016, passant de 24 à 33 emplois (+ 38 %), compte tenu des nouvelles missions qui lui ont été attribuées par le législateur ainsi que de l'impact à venir de la réglementation européenne (le RGPD), qui va modifier à compter du mois de mai prochain l'environnement de la donnée personnelle.
Pour les administrations publiques indépendantes, la présentation d'indicateurs de performance est déjà une obligation législative, dans le cadre des documents annexés aux lois de finances. Afin d'apprécier l'efficience de la HATVP, un indicateur repose notamment sur les délais moyens de réponse aux demandes d'avis sur les questions déontologiques.
DATE-CHARGEMENT: 6 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Société d'édition publique
Tous droits resérvés
49 of 500 DOCUMENTS
Challenges.fr
mardi 6 février 2018 7:39 PM GMT
La protection des donnes personnelles en dbat l'Assemble
AUTEUR: AFP
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 701 mots
Mieux protger les donnes personnelles des internautes, notamment des mineurs, et sadapter aux nouvelles ralits numriques: lAssemble nationale a entam mardi lexamen dun projet de loi prsent comme "essentiel" par le gouvernement et objet dun relatif consensus chez les dputs.
Devant un hmicycle clairsem, la ministre de la Justice Nicole Belloubet a soulign que "lavnement de lre du numrique et son dveloppement exponentiel nous obligent aujourdhui refonder la protection juridique des donnes personnelles" (nom, photos, vidos, numros de tlphone...).
Le projet vise adapter la loi fondatrice informatique et liberts de 1978, avant lentre en vigueur le 25 mai du Rglement gnral sur la protection des donnes personnelles (RGPD) et dune directive applicable aux fichiers pnaux.
Avec ce nouveau cadre, le continent europen a exprim une "ambition trs forte" sur ce sujet o la France "a toujours t aux avant-postes", a soulign la ministre.
Le secrtaire dtat au numrique Mounir Mahjoubi a dfendu dans la foule un texte "essentiel" et "minemment politique", qui permet "une reprise en main" de son avenir numrique par lEurope.
Le projet de loi, sur lequel quelque 180 amendements ont t dposs, met en oeuvre ce cadre europen qui prvoit "de nouveaux droits", tels la "portabilit" des donnes, une protection accrue des mineurs ou encore un droit loubli, avait expliqu plus tt la rapporteure Paula Forteza (LREM).
Il "a un impact conomique important parce que toutes les entreprises devront rpondre de nouvelles obligations", avait ajout sur LCP cette ancienne dEtalab, service de Matignon charg de coordonner louverture des donnes publiques.
Les groupes politiques ont peu comment le projet en amont. Sil "na pas fait beaucoup couler dencre", le texte est "trs important", car il "va donner un cadre pour les 10-15 prochaines annes", avait observ dans la matine Philippe Latombe (MoDem).
- Lacunes -
Dans lhmicycle, le projet a eu un soutien assez large malgr quelques bmols. Philippe Gosselin (LR) a ainsi regrett "une remise plat pas aussi complte quelle aurait pu ltre" et Laure de La Raudire (UDI-Agir) que le texte soit "difficile lire", rejoignant sur ce point le communiste Stphane Peu.
Pour Nouvelle Gauche, Ccile Untermaier a voqu un cadre europen "globalement consensuel" mais point des "lacunes" notamment sur lutilisation des algorithmes par les administrations.
LInsoumis Loc Prudhomme a indiqu que son groupe ne voterait pas le texte "en ltat". Il a notamment point "un risque de totalitarisme" venu des Gafa (Google, Amazon, Facebook, Apple) et dplor que la loi ne renforce pas la mission dinformation de la Commission nationale de linformatique et des liberts (Cnil).
Quant Marine Le Pen (FN), elle a estim au sujet des donnes, "ressource stratgique", que cet "enjeu de souverainet" devrait dabord tre gouvern en France.
Le nouveau rglement repose sur le droit fondamental pour tout Europen la protection de sa vie prive et de ses donnes. Il sera applicable aux entreprises et leurs sous-traitants, quelle que soit leur implantation, y compris hors UE.
Le texte opre un "changement de paradigme", selon les termes de Mme Belloubet, en remplaant le contrle a priori - dclarations et autorisations pralables- par un contrle a posteriori. Les socits dtentrices de donnes devront notamment prvenir rapidement la Cnil en cas de perte, de vol ou de divulgation, sous peine damendes qui pourront aller jusqu 4% du chiffre daffaires mondial ou 20 millions deuros.
Pour les mineurs, les dputs ont fix en commission 15 ans, et non 16 comme le prvoyait le gouvernement, la "majorit numrique", permettant de sinscrire sur des rseaux sociaux (Snapchat, Instagram...) sans autorisation parentale. Mme Belloubet a dit souhaiter que "le dbat soit rellement ouvert" sur ce sujet.
En matire pnale, le projet prvoit lexercice direct de certains droits, tels que laccs, la rectification ou leffacement de donnes. Le fichier national des empreintes gntiques est notamment concern, mais sont exclus une dizaine de fichiers de "souverainet", gnralement grs par les services de renseignement.
La rapporteure dfendra notamment un amendement pour instituer un contrle en aval des fichiers dtenus par les renseignements.
DATE-CHARGEMENT: February 8, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2018 Challenges
tous droits réservés
50 of 500 DOCUMENTS
L'Eveil de la Haute Loire
Mardi 6 Février 2018
Eveil Edition
L'Assemblée nationale se penche à partir de mardi sur la protection des données personnelles
RUBRIQUE: IG OUVERTURE
LONGUEUR: 603 mots
ENCART: La protection à l'ère numérique
«L e développement de l'ère numérique oblige à repenser le cadre applicable aux données personnelles », explique la ministre de la Justice, Nicole Belloubet, qui défendra le texte dans l'hémicycle.
Cette révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux.
Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE.
Ainsi, « l'Europe disposera d'un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles », selon Mounir Mahjoubi, secrétaire d'État au Numérique. Facebook, souvent critiqué pour l'usage fait des données de ses utilisateurs, a ainsi indiqué lundi avoir mis en place une importante équipe pour se préparer à cette loi. Le texte remplace le système de contrôle a priori avec des déclarations et des autorisations préalables par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente en France, la Cnil en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
« Il s'agit d'alléger les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes ».
Les députés ont également introduit la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral.
S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le traitement des antécédents judiciaires.
Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.
Majorité. Autre point sensible, l'âge à partir duquel un mineur peut s'inscrire sur des réseaux sociaux sans autorisation parentale. Le règlement européen fixe cette majorité numérique à 16 ans, mais autorise les États-membres à l'abaisser jusqu'à 13 ans. Les députés ont abaissé ce seuil en commission, de manière consensuelle, à 15 ans, « âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet », selon la rapporteure Paula Forteza (LREM).
DATE-CHARGEMENT: 6 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: EVEIL
Copyright 2018 L'Eveil de la Haute-Loire et leveil.fr
Tous droits réservés
51 of 500 DOCUMENTS
La Tribune.fr
Mardi 6 Février 2018 10:53 AM CET
Pour une universalité (régulée) des données personnelles
AUTEUR: Arno Pons
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 887 mots
ENCART: Il ne faut pas appliquer les règles du capitalisme à la data mais plutôt celles de la politique en imaginant un « Wikipedia de la donnée personnelle » via une blockchain. Par Arno Pons, délégué général du think-tank « Digital New Deal Foundation » (*).
La récente proposition de Gaspard Koenig consistant à faire payer les données est très intéressante, mais à vrai dire peu efficiente car cela ne représenterait que quelques euros de rémunération par an.... Et surtout elle ne comprend pas la nature même de la révolution numérique qui est entièrement fondée sur la culture « free ». S'il est contre-productif et contre-nature de rémunérer la data, il est en revanche souhaitable de réguler son utilisation et utile de rétribuer ceux qui y contribuent. Dit autrement, ce qu'il faut ce n'est pas appliquer les règles du capitalisme à la data mais plutôt celles de la politique en imaginant une nouvelle forme de gouvernance. Un enjeu de plus en plus géopolitique La data est en effet un sujet majeur du XXIe siècle, et deviendra de plus en plus un enjeu géopolitique comme le fut le pétrole au siècle précédent. Ces précieuses données, et l'utilisation qui en découle, ne doivent donc surtout pas finir dans les mains d'un Etat malveillant ou devenir le carburant de sociétés monopolistiques vouées à concurrencer toujours plus les prérogatives des Etats-nations.
Songez un instant que l'Amérique transfère, volontairement ou non, les données stockées par la NSA à la Russie de Poutine, ou que le dirigeant d'une grande entreprise du net, tel Mark Zuckerberg, utilise les données collectées par sa firme à des fins politiques... La réalité dépassant de plus en plus la fiction, il faut impérativement réfléchir à une organisation internationale qui soit au rendez-vous de l'histoire. Si on ne veut pas que la data et son corollaire, l'Intelligence Artificielle, ne deviennent la nouvelle bombe H dont la prolifération échapperait à tout contrôle, il nous faut imaginer l'équivalent d'une ONU de la data. Créer une "Organisation mondiale de la Data" Nous devons pour cela tout d'abord étendre les droits de l'homme aux données qu'il engendre, car elles sont indivisibles de sa personnalité, et constitutives de sa citoyenneté. Cette nouvelle « déclaration des droits de l'homme, du citoyen et de ses données » devra faire l'objet d'un contrôle communautaire international via la création d'une nouvelle agence de l'ONU à l'instar de l'OMS. Cette « Organisation mondiale de la Data » aurait pour mission de suivre et réguler les données des internautes afin d'offrir aux États le pouvoir de les protéger (et ainsi globaliser l'initiative européenne de règlement général sur la protection des données - RGPD). Dans un monde où la désintermédiation déstabilise les équilibres, il est effectivement temps d'imaginer une gestion des données par une organisation internationale garante du bien commun. Face à la dimension mondiale des GAFA, BATX et autres géants du net, il faut établir un contre-pouvoir et utiliser pour ce faire la même arme qu'eux : le réseau ! Utiliser la blockchain Puisque le réseau est le nouveau paradigme de l'économie, et la confiance sa valeur étalon, alors utilisons ce même réseau pour contenir ces GAFA en utilisant la blockchain (ce protocole de la confiance peut en effet équilibrer et circonscrire le pouvoir des marques plateformistes en les prenant à leur propre jeu). Cela reviendrait à réveiller le pouvoir de la foule anonyme, génératrice inconsciente de données, en un peuple éclairé conscient de sa valeur. Cette nouvelle agence de l'ONU dédiée à la data pourrait alors monétiser politiquement cette chaîne de valeur (et non financièrement comme le propose Gaspard Koenig) en donnant la possibilité à un citoyen ou un Etat de vérifier à tout moment où la donnée est utilisée et à quelle fin. Une autre approche de la patrimonialité C'est une autre approche de la patrimonialité que celle proposée par le philosophe, les GAFA auraient certes l'usufruit des données produites sur leurs plateformes mais elles resteraient la nue-propriété du citoyen. Ces entreprises seraient alors comptables à tout moment de leur gestion, se verraient opposer un droit d'utilisation abusive, et le cas échéant seraient obligées de réintégrer l'usufruit pour que l'internaute retrouve la pleine propriété de ses données. La blockchain rémunérant les mineurs (nom donné aux internautes qui font ce travail de régulation) grâce à des monnaies virtuelles comme le Bitcoin, chaque internaute contributeur se verrait ainsi verser une sorte de revenu universel qui ne récompenserait pas sa passivité devant les écrans (comme le souhaite Génération Libre et les libertaires de la Silicon Valley), mais au contraire son activité régulatrice sur le réseau. En somme, ne nous contentons pas de créer un « nanomarché », et bâtissons plutôt les institutions du numérique. Ayons l'ambition de disrupter les relations internationales en créant la « datapolitique », première discipline en sciences-politiques de l'ère digitale... L'ONU aurait pu être à l'initiative de Wikipedia dans le cadre de la digitalisation des missions de l'UNESCO, à savoir l'accès universel au savoir de manière collaborative, décentralisée et totalement peer-to-peer. Une nouvelle opportunité se présente, elle doit être saisie avant qu'il ne soit trop tard : créer le « Wikipedia de la donnée personnelle » via une blockchain !
(*) Arno Pons, délégué général du think-tank « Digital New Deal Foundation », est directeur général de 5emeGauche-HerezieGroup, enseignant à SciencesPo.
Arno Pons.(917840.png)
DATE-CHARGEMENT: 6 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
52 of 500 DOCUMENTS
La Dépêche du Midi
mardi février 6 2018
GÉNÉRAL EDITION
Données personnelles : le projet
RUBRIQUE: ACTUALITÉ; Toulouse; Pg. 5 N° 22095
LONGUEUR: 504 mots
ENCART: numérique
Alors que la Commission nationale de l'informatique et des libertés (Cnil), l'organisme chargé de protéger les données personnelles des Francais et préserver les libertés individuelles, fête cette année ses quarante ans d'existence, l'Assemblée nationale examine à partir de ce mardi un projet de loi majeur. Présenté par le Premier ministre Édouard Philippe et la garde des Sceaux Nicole Belloubet, ce texte sur la protection des données personnelles doit adapter la législation francaise - la fameuse la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - au nouveau cadre juridique européen, instauré par le règlement et la directive du 27 avril 2016. Ce règlement général sur la protection des données personnelles (RGPD) qui va entrer en vigueur le 25 mai prochain apporte beaucoup de nouveautés, à l'heure où les Gafa (Google, Amazon, Facebook, Apple) confortent leur modèle économique sur l'exploitation très fine et parfois très intrusive des données des internautes. Outre un cadre unifié et protecteur pour les données personnelles des Européens, le nouveau règlement instaure de nouveaux droits pour les citoyens.
Au premier rang d'entre eux, la portabilité des données. C'est-à-dire que les internautes pourront récupérer les données qu'ils ont communiquées à une plate-forme et les transmettre à une autre (réseau social, fournisseur d'accès à internet, site de streaming, etc.).
Le texte introduit aussi un droit à l'effacement élargi, plus communément appelé le droit à l'oubli. S'il existait déjà, il est plus simple à mettre en oeuvre pour les citoyens.
L'idée d'un guichet unique devient aussi une réalité, c'est-à-dire qu'en cas de problème, les internautes s'adresseront à l'autorité de protection des données de leur pays, quel que soit le lieu d'implantation de l'entreprise qui traite leurs données.
Le droit de recourir à des actions collectives et le droit à réparation du dommage subi sont aussi inclus dans le texte.
Les PME inquiètes
Pour les entreprises qui traitent des données, le nouveau cadre bouleversera leur facon de travailler. Le texte prévoit en particulier la réduction des formalités préalables pour la mise en oeuvre des traitements des données, avec le passage d'un système de contrôle a priori de la Cnil (obligation de déclarer), à un contrôle a posteriori plus adapté aux évolutions technologiques. En contrepartie, la Cnil voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d'infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'organisme concerné. De plus, chaque entreprise devra se doter d'un délégué aux données personnelles. Si cela ne posera pas de problème pour les grandes entreprises, il en ira autrement pour les TPE-PME, voire les collectivités.
La Cnil, qui a prévu de publier une série de documents appelée « Pack PME-TPE », devrait se montrer indulgente pour faciliter et accompagner les PME.
Philippe Rioux
@technomedia
Un centre de données de Goolge./
Photo Google.
DATE-CHARGEMENT: 5 février 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Un centre de données de Goolge./
Photo Google.
TYPE-PUBLICATION: Journal
Copyright 2018 La Dépêche du Midi
tous droits réservés
53 of 500 DOCUMENTS
La Dépêche du Midi
mardi février 6 2018
GÉNÉRAL EDITION
Données personnelles : le projet
RUBRIQUE: ACTUALITÉ; Toulouse; Pg. 5 N° 22095
LONGUEUR: 504 mots
ENCART: numérique
Alors que la Commission nationale de l'informatique et des libertés (Cnil), l'organisme chargé de protéger les données personnelles des Francais et préserver les libertés individuelles, fête cette année ses quarante ans d'existence, l'Assemblée nationale examine à partir de ce mardi un projet de loi majeur. Présenté par le Premier ministre Édouard Philippe et la garde des Sceaux Nicole Belloubet, ce texte sur la protection des données personnelles doit adapter la législation francaise - la fameuse la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés - au nouveau cadre juridique européen, instauré par le règlement et la directive du 27 avril 2016. Ce règlement général sur la protection des données personnelles (RGPD) qui va entrer en vigueur le 25 mai prochain apporte beaucoup de nouveautés, à l'heure où les Gafa (Google, Amazon, Facebook, Apple) confortent leur modèle économique sur l'exploitation très fine et parfois très intrusive des données des internautes. Outre un cadre unifié et protecteur pour les données personnelles des Européens, le nouveau règlement instaure de nouveaux droits pour les citoyens.
Au premier rang d'entre eux, la portabilité des données. C'est-à-dire que les internautes pourront récupérer les données qu'ils ont communiquées à une plate-forme et les transmettre à une autre (réseau social, fournisseur d'accès à internet, site de streaming, etc.).
Le texte introduit aussi un droit à l'effacement élargi, plus communément appelé le droit à l'oubli. S'il existait déjà, il est plus simple à mettre en oeuvre pour les citoyens.
L'idée d'un guichet unique devient aussi une réalité, c'est-à-dire qu'en cas de problème, les internautes s'adresseront à l'autorité de protection des données de leur pays, quel que soit le lieu d'implantation de l'entreprise qui traite leurs données.
Le droit de recourir à des actions collectives et le droit à réparation du dommage subi sont aussi inclus dans le texte.
Les PME inquiètes
Pour les entreprises qui traitent des données, le nouveau cadre bouleversera leur facon de travailler. Le texte prévoit en particulier la réduction des formalités préalables pour la mise en oeuvre des traitements des données, avec le passage d'un système de contrôle a priori de la Cnil (obligation de déclarer), à un contrôle a posteriori plus adapté aux évolutions technologiques. En contrepartie, la Cnil voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d'infliger des amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'organisme concerné. De plus, chaque entreprise devra se doter d'un délégué aux données personnelles. Si cela ne posera pas de problème pour les grandes entreprises, il en ira autrement pour les TPE-PME, voire les collectivités.
La Cnil, qui a prévu de publier une série de documents appelée « Pack PME-TPE », devrait se montrer indulgente pour faciliter et accompagner les PME.
Philippe Rioux
@technomedia
Un centre de données de Goolge./
Photo Google.
DATE-CHARGEMENT: 5 février 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Un centre de données de Goolge./
Photo Google.
TYPE-PUBLICATION: Journal
Copyright 2018 La Dépêche du Midi
tous droits réservés
54 of 500 DOCUMENTS
Le Figaro Online
mardi 6 février 2018 06:08 PM GMT
L'Assemblée nationale examine la loi de protection des données
AUTEUR: Lucie Ronfaut; lronfaut@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 674 mots
ENCART: Ce texte modifie la loi informatique et libertés pour l'adapter au futur règlement européen (RGPD). Avec quelques originalités.
Après l'Europe, c'est au tour de la France de légiférer sur les données personnelles. L'Assemblée nationale examine depuis mardi le projet de loi relatif à la protection des données personnelles. Ce dernier doit adapter le droit français à plusieurs textes européens, notamment le fameux RGPD, le règlement européen sur la protection des données personnelles. Ce dernier doit entrer en vigueur pour tous les pays de l'Union le 25 mai. Peu de temps, donc, et un calendrier serré pour le gouvernement. La rapporteure du texte, la députée LREM Paula Forteza, a été nommée fin novembre par la commission des lois. Le texte sera examiné deux jours par l'Assemblée nationale. Il passera ensuite au Sénat en mars et, normalement, doit être adopté d'ici au mois d'avril. Cette procédure accélérée s'achèvera dans six mois, par la publication de l'ordonnance modifiant la loi informatique et libertés de 1978, le texte qui réglemente actuellement la liberté de traitement des données personnelles en France.
De l'aveu de beaucoup d'acteurs concernés, le chantier n'est pas simple. La France s'est déjà dotée récemment d'un texte encadrant davantage le traitement des données personnelles, la loi pour une République numérique, adoptée en 2016. Cette fois-ci, néanmoins, il s'agit d'harmoniser les règles de la France en la matière avec tous les pays européens. Le projet de loi discuté à partir de mardi doit appliquer en droit français le «paquet européen de protection des données». Ce dernier se compose de deux textes: le RGPD, qui pose un cadre général et applicable dans tous les pays européens, et une directive relative aux traitements de données dans le cadre de détection des infractions et de l'exécution de sanctions pénales. Toutes les entreprises traitant des informations de citoyens européens, qu'elles soient elles-mêmes situées en Europe ou non, y seront soumises. Les autorités de contrôle - la Cnil en France - seront dotées de nouvelles missions et d'un pouvoir de sanction accru contre les sociétés contrevenantes: les amendes pourront aller jusqu'à 4 % du chiffre d'affaires annuel mondial. Le RGPD prévoit aussi de nouveaux droits pour les consommateurs, comme celui de la portabilité des données, qui donne la possibilité de réutiliser ses informations personnelles à travers différents services en ligne, ou le droit à l'oubli sur les moteurs de recherche.
Le texte présenté mardi aux députés précise aussi plusieurs points du RGPD dans le contexte français. La loi fixe par exemple l'âge de la «majorité numérique» des Français à 15 ans. Avant cette limite, tout traitement de donnée du jeune internaute devra être soumis à l'accord de celui-ci et de ses parents. Par ailleurs, la loi française veut autoriser les actions de groupes contre des sociétés qui traitent des données personnelles, en cas de manquement à leurs obligations, ou pour réparer un préjudice financier ou moral. Un amendement adopté en commission des lois prévoit enfin que la Cnil doit prendre en compte «les besoins spécifiques des micros, petites et moyennes entreprises» dans son rôle de contrôle et de sanction dans ce nouveau cadre. Sous-entendu, ne pas juger trop sévèrement les PME mais aussi les start-up. Dans une étude publiée fin 2017 par le Syntec numérique, seules 9 % des entreprises françaises déclaraient être déjà en conformitéavec le RGPD, faute d'information et de moyens.
Parmi les autres amendements, non encore adoptés en commission des lois, on retrouve une proposition portée par le député Bruno Bonnell et Gaspard Koenig pour que les citoyens jouissent de la propriété intellectuelle de leurs données, permettant ainsi de les vendre. Un autre amendement exige des fabricants d'appareils électroniques qu'ils n'installent pas des services de communication en ligne qui «collectent et conservent tout ou partie des requêtes associées à des données personnelles de l'utilisateur». Une disposition qui vise clairement Google et son moteur de recherche. Elle n'a pas été acceptée en commission, mais doit être présentée en séance publique.
DATE-CHARGEMENT: 6 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Figaro
Tous droits réservés
55 of 500 DOCUMENTS
Le Monde
6 février 2018 mardi
Nos data nous appartiennent
AUTEUR: Collectif
RUBRIQUE: CARNET; Pg. 27
LONGUEUR: 816 mots
ENCART: Un collectif plaide pour que chaque personne puisse monnayer ses données personnelles, qui enrichissent d'ores et déjà les géants du Web
Par quel étrange renoncement sommes-nous devenus de la chair à algorithmes ? Tous les jours, nous abandonnons une partie de nous-mêmes à des plates-formes numériques, appâtés par l'illusion de la gratuité. Nos données les plus intimes, concernant nos goûts, nos déplacements ou nos amours, sont collectées, agrégées, souvent revendues, et utilisées pour orienter et contrôler nos comportements. En cliquant sur des conditions d'utilisation léonines, que nous n'avons pas le temps ni la capacité de lire, encore moins de comprendre ou de négocier, nous courons vers notre servitude volontaire. Les géants du Web bâtissent leur fortune sur les dépouilles de notre identité.
Parce qu'il est urgent de rétablir nos valeurs les plus fondamentales, nous plaidons pour instaurer une patrimonialité des données personnelles. Le droit de propriété a toujours été une conquête sociale permettant de rééquilibrer les rapports de pouvoir au profit de l'individu et de ses libertés. Du cadastre aux brevets, la propriété garantit, selon l'adage romain, l'usus, l'abusus et le fructus, nous rendant maîtres de nous-mêmes et de nos actions, protégés de l'arbitraire des puissants. Voilà pourquoi Proudhon écrivait dans la Théorie de la propriété, que " la propriété est la plus grande force révolutionnaire qui existe ". Après la terre et les idées, le temps est venu d'étendre cette force révolutionnaire à nos data.
Cette simple adjonction juridique, qui n'existe aujourd'hui ni en Europe ni aux Etats-Unis, suffirait à bouleverser l'écosystème du numérique. Chacun pourrait choisir en toute autonomie l'usage qu'il souhaite faire de ses données. On pourrait ainsi accéder à certains services sans partager ses propres données, mais en payant le prix de cette confidentialité et donc en devenant véritablement client. A l'inverse, dans la mesure où l'on accepte de céder ses données, il faudra que les plates-formes nous rémunèrent, réintégrant le producteur primaire de données dans la chaîne de valeur.
Des flux continus de transactions, plus ou moins importants en fonction des catégories de data, en débit comme en crédit -selon nos préférences contractuelles, viendraient alimenter nos comptes personnels de données, avec une blockchain - technique qui consiste à sécuriser une transaction en la faisant valider par une multitude d'ordinateurs, de manière chiffrée - pour garantir la validité des transactions. On peut imaginer que de puissants intermédiaires se constituent, comme les sociétés de gestion collective pour les droits d'auteur, afin de négocier conditions et tarifs au nom de millions de citoyens numériques, et de concevoir des contrats adaptés à chacun.
Il ne s'agit pas de marchandiser ses données, selon le terme convenu pour inhiber tout débat, mais de rendre aux citoyens une valeur aujourd'hui capturée par Google, Apple, Facebook, Amazon et Microsoft et leurs milliers de disciples. En quoi est-il contraire à la dignité humaine de doter les producteurs de data d'un capital qui leur revient, et qui leur permettra d'effectuer leurs choix de manière d'autant plus indépendante ? Dénoncer la monétisation, c'est nier une réalité économique, puisque nos données sont de facto devenues objets de commerce (au point de représenter bientôt 8 % du PIB européen !). Mais c'est aussi, politiquement, se faire le complice objectif des oligopoles.
Prendre les devants
D'autant que la logique de la patrimonialité n'entre nullement en contradiction avec celle des droits fondamentaux, portée au niveau européen par le règlement général sur la protection des données (RGPD). Etablir des droits inaliénables permet d'autant mieux de concevoir un marché qui les respecte, comme c'est classiquement le cas dans nos démocraties. De plus, certaines conquêtes du RGPD, telles que l'exigence de portabilité, constituent des étapes indispensables vers un droit de propriété.
Cette discussion a commencé. Des start-up se créent chaque semaine pour monétiser nos données de manière sauvage. Jaron Lanier, l'un des geeks les plus charismatiques de la Silicon Valley, porte le sujet depuis plusieurs années, au nom des valeurs libertaires qui faisaient la vigueur de l'Internet des années 1980. Son dernier papier, cosigné entre autres avec des universitaires de Stanford, a relancé le débat outre-Atlantique. En France, le député Bruno Bonnell (LRM) travaille sur une proposition de loi. L'Europe s'honorerait de prendre les devants et d'imposer sa soft law - règles de droit non obligatoires - face à une Amérique à genoux devant les intérêts du big business et à une Chine peu soucieuse de l'individu.
Alors qu'on nous annonce, à l'image de l'historien Yuval Noah Harari, un " dataisme " dissolvant l'humain dans le réseau et rendant caduc le libre arbitre, il est urgent de reprendre la maîtrise de nos data et donc de nous-mêmes. Le droit de propriété est l'un des outils essentiels de cet humanisme 2.0.
DATE-CHARGEMENT: 5 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Monde Interactif
Tous Droits Réservés
56 of 500 DOCUMENTS
Le Monde
6 février 2018 mardi
Villes : le grand bazar du big data
AUTEUR: Claire Legros
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 6
LONGUEUR: 1873 mots
ENCART: Energie, mobilité, commerce, santé, sécurité... Un flot toujours plus important de données remodèle les villes en profondeur. Mais, entre les collectivités locales et les acteurs privés, les relations restent tendues. Et le citoyen est rarement consulté
Les joggeurs adorent Strava. Cette appli d'origine américaine leur permet d'échanger leurs performances et de se retrouver sur les lieux de course en ville, puisque tout le monde est géolocalisé. Un réseau social du footing, avec cartes à l'appui, qui peut aider les collectivités à repérer les aménagements nécessaires. Seul problème, dévoilé le 27 janvier par un étudiant en sécurité internationale : on peut aussi y repérer les parcours des militaires qui font du sport près de leur base, au Mali ou en Afghanistan.
Bienvenue dans le grand bazar des données urbaines. Issu des multiples capteurs disséminés dans nos véhicules, nos appartements et nos smartphones, le déluge ininterrompu de données refonde les villes en profondeur. En échange de services de plus en plus efficaces, acteurs publics et privés amassent des informations sur nos trajets et habitudes.
Certains y voient la promesse réjouissante d'un trafic plus fluide, d'un habitat économe en énergie, de relations plus étroites entre membres d'une communauté... Pour d'autres, c'est le cauchemar de cités panoptiques, façon Big Brother, qui se concrétise.
Aucun secteur n'échappe à cette transformation radicale : consommation d'eau et d'énergie, mobilité, commerce, santé, sécurité... Mais numériser la ville ne suffit pas à la rendre intelligente. Dans une société de la connexion permanente, le big data urbain représente aussi une source d'inquiétudes. Alors que responsables politiques et entreprises plébiscitent l'avènement des cités numériques, les habitants restent méfiants, comme l'a montré une enquête, publiée en novembre 2017, de l'Observatoire société et consommation (L'Obsoco) et du cabinet d'études Chronos. Moins d'une personne interrogée sur trois souhaite partager ses données pour contribuer au bon fonctionnement de la smart city.
La ville connectée est-elle compatible avec la protection des libertés individuelles ? Doit-on soumettre les politiques publiques à la régulation statistique ? L'intérêt général peut-il se résumer à la somme des intérêts des utilisateurs d'applications ? Le citoyen est-il condamné à rester un pourvoyeur de données que l'on traque pour mieux l'orienter ? A la croisée du juridique, du politique et de l'éthique, ces questions sont au coeur du projet de la smart city.
Sur la plate-forme de données de la Ville de Paris,
ouverte à tous sous certaines conditions, on trouve à la fois la liste des livres les plus réservés dans les bibliothèques, les marchés publics de plus de 20 000 euros ou les subventions accordées aux associations. Depuis une dizaine d'années, les grandes villes françaises basculent vers l'open data : après les avoir anonymisées et agrégées, elles publient les données collectées par leurs administrations. L'objectif de ce partage est double. Il s'agit à la fois de faire preuve de transparence et de stimuler l'innovation en suscitant de nouveaux services. Ainsi, la start-up -LKSpatialist, à Montpellier, développe, à partir des données cadastrales ouvertes par la ville, des logiciels d'aide aux agents immobiliers pour repérer en quelques clics les caractéristiques d'un logement : proximité d'une école, réglementations particulières... Elle est passée de 3 à 38 salariés en trois ans.
En théorie, la loi impose aux villes de plus de 3 500 habitants d'ouvrir leurs données en octobre 2018, de même qu'aux entreprises qui gèrent un service public (transports ou réseau d'eau). A ce jour, selon l'Observatoire de l'open data en France, qui doit être lancé le 8 février, environ 300 des 4 000 collectivités concernées sont passées à l'acte. " On est loin du compte, constate Jacques Priol, fondateur d'une société de conseil aux collectivités et auteur du Big Data des territoires (FYP Editions, 2017). Les petites communes n'ont pas les moyens techniques de l'open data. "
L'autre grand chantier de la ville connectée concerne la cohabitation avec le secteur privé. Airbnb, Google, Uber... Les plates-formes de partage, en lien direct avec les usagers, bousculent le modèle classique de gouvernance urbaine, dépossédant au passage les acteurs publics de leur capacité à organiser une partie des services. Les collectivités cherchent à reprendre la main. A Rennes, la métropole vient de lancer un " service public métropolitain de la donnée " pour " une gouvernance commune de l'information, qu'elle soit publique ou privée ", indique Bernadette Kessler, responsable de l'innovation numérique de Rennes Métropole.
Opérations de séduction
A Lille, la métropole se positionne, elle, en régulateur des services numériques. " Nous voulons mettre en place une supervision, être le chef d'orchestre du territoire au nom de l'intérêt général, affirme Akim Oural, conseiller métropolitain aux nouvelles technologies. On ne veut plus subir, comme on l'a fait avec Airbnb ou Uber. " Depuis juillet 2017, la -Métropole européenne lilloise (MEL) dispose d'informations sur le trafic en temps réel, issues des milliers d'utilisateurs de l'appli Waze, qui l'alerte sur les accidents et les bouchons. " En échange, la collectivité nous apporte des informations prévisibles qui peuvent avoir un impact sur l'état de la route (événements sportifs, brocantes, travaux) ", détaille Jérôme Marty, directeur général France de Waze, qui travaille aussi avec l'agglomération Versailles Grand Parc et le département du Loiret. " On a calculé qu'en moyenne Waze alerte quatre minutes avant que les services d'urgence ne soient au courant, avec une mise à jour toutes les cinq minutes. Ces informations sont précieuses pour un service public ", assure Etienne Pichot-Damon, chargé de l'open data à la MEL.
L'expérience est suivie avec attention par de nombreux services urbains, même si tous ne sont pas enclins à pactiser avec les producteurs de données. Le Grand Lyon a décliné les avances de Waze au motif que " les conditions d'un partenariat ne sont pas réunies, explique Karine Dognin-Sauze, vice-présidente de la métropole de Lyon. Nous ne pouvons pas accepter un accord avec une -société qui incite ses usagers à emprunter à 8 h 30 des rues tranquilles bordées par une école ". De son côté, la métropole de Montpellier a choisi de miser sur ses propres ressources, afin de limiter la dépendance aux plates-formes privées. " Nous voulons rester autonomes en utilisant nos propres capteurs, expose Jérémie Valentin, responsable de l'open data à la métropole. Qui nous dit que l'offre de Waze sera durable ? "
Du côté des plates-formes, les opérations de séduction se multiplient. Ces derniers mois, des acteurs majeurs ont ouvert des informations destinées aux pouvoirs publics. Uber affiche sur sa plate-forme Uber Movement, depuis octobre 2017, les temps de trajet calculés à partir des parcours de ses conducteurs. Le service de VTC veut " aider les villes à prendre des décisions ", selon Alexandre Droulers, le directeur des projets pour l'Europe de l'Ouest. Uber a travaillé en collaboration avec l'Institut d'aménagement et d'urbanisme (IAU) de la région Ile-de-France, dont le directeur du département mobilité, Dany Nguyen Luong, reconnaît que l'offre " apporte des informations inédites. Nous pouvons par exemple comparer les temps de parcours à différentes heures de la journée ". Pour autant, ces informations restent trop limitées, selon lui : " On aurait besoin du volume du trafic : nombre de passagers, de VTC en circulation... Ces données restent confidentielles,alors qu'elles relèvent autant de l'intérêt général que celles des opérateurs traditionnels de délégations de service public. "
Même déception après l'ouverture, en novembre 2017, du portail Dataville d'Airbnb, la plate-forme de données du site de location de logements de particuliers. Les revenus médians des utilisateurs affichés par ville ne permettent pas de comprendre, à l'échelle d'un quartier, l'impact des réservations sur l'offre de logement. " C'est tout sauf de l'open data ; on ne peut pas réaliser nos propres analyses ", estime Jérémie Valentin, à Montpellier, tandis qu'à Bordeaux le conseiller municipal Matthieu Rouveyre a entrepris de géolocaliser tous les logements loués sur Airbnb, au nom du " droit à la ville ". Pour Simon Chignard, conseiller à Etalab, la mission du gouvernement relative au partage de données publiques, " les stratégies des plates-formes ne doivent rien au hasard. Elles se mettent en ordre de bataille en vue des discussions à -venir, notamment sur la régulation ".
Retour du temps démocratique
Entre les collectivités, auxquelles la loi impose l'open data, et les acteurs privés, pour qui la donnée représente un trésor économique, l'échange reste inéquitable. Certains veulent aller plus loin, en créant un statut de " données d'intérêt territorial ", comme le préconise l'ex-député Luc Belot dans son rapport sur la smart city remis en avril 2017. De son côté, la Commission nationale de l'informatique et des libertés (CNIL) analyse les conditions d'un " open data du secteur privé " dans un cahier publié en novembre 2017. Quant à la ministre des transports, Elisabeth Borne, elle a évoqué, le 13 décembre 2017, à l'issue des Assises de la mobilité, la " mise à disposition des données " de l'ensemble des opérateurs, " non seulement publics mais aussi privés, à l'instar de l'autopartage, des VTC ou encore des vélos en libre-service ".
L'année 2018 sera-t-elle celle de la régulation de la data urbaine ? Un premier pas s'apprête à être franchi le 25 mai, avec l'entrée en vigueur du nouveau règlement européen général pour la protection des données (RGPD), qui prévoit des devoirs plus stricts, assortis de sanctions, pour les acteurs qui collectent des données personnelles, et des droits plus importants pour les citoyens. Conditions d'utilisation illisibles, défauts de consentement, manque de transparence... Le citoyen reste le grand oublié de la smart city. Or la masse croissante des informations collectées et la porosité entre les différents usages renouvellent les possibilités de surveillance.
Le vaste chantier des villes intelligentes est d'abord un projet politique. " La vraie question n'est plus comment on construit la ville connectée, mais pour en faire quoi ", estime le sociologue Bruno Marzloff, du cabinet Chronos. " Il ne faudrait pas que la vitesse des algorithmes remplace le temps démocratique ", renchérit Jacques Priol. Encore timides, des initiatives commencent à voir le jour pour associer plus étroitement les habitants à l'utilisation de leurs données. A Lyon, la métropole teste depuis un an le dispositif " Mes infos ", lancé par la FING (Fondation Internet nouvelle génération) pour redonner aux citoyens le contrôle de leurs données personnelles. Le projet associe à la fois des particuliers, une collectivité locale et des entreprises, dont la compagnie d'assurances MAIF et l'opérateur de télécoms Orange. Ces partenaires imaginent de nouveaux services selon des règles définies ensemble préalablement. Un dispositif qui s'inscrit dans la volonté de " construire un environnement de confiance, et qui passe par l'éducation à la donnée ", résume Karine Dognin-Sauze. Chaque individu a accès aux informations collectées à son -sujet et peut décider pour quels services il est prêt à en autoriser l'usage. Une façon de -replacer le citoyen au centre du débat.
DATE-CHARGEMENT: 5 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Monde Interactif
Tous Droits Réservés
57 of 500 DOCUMENTS
Le Monde
6 février 2018 mardi
Marseille veut " anticiper la sécurité "
AUTEUR: C. LE.
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 7
LONGUEUR: 530 mots
Le premier pilier de la smart city marseillaise sera " un big data de la tranquillité publique ", selon Caroline Pozmentier, adjointe au maire déléguée à la sécurité publique. Alors que de nombreuses collectivités en France misent sur les plates-formes de données pour optimiser les déplacements et l'empreinte énergétique, la ville de Marseille a annoncé, en décembre 2017, la création d'un outil d'analyse pour " garantir de manière plus efficace la sécurité et la tranquillité publique des citoyens ".
Ce centre de supervision devrait recueillir l'ensemble des données publiques disponibles : mains courantes de la police municipale, captations des caméras de surveillance, informations relevées par les marins-pompiers ou les agents des espaces verts... Développé par Engie Ineo, l'outil vise à croiser ces informations, présentes et passées, avec les données des opérateurs de téléphonie mobile, de transport public et de l'AP-HM (Assistance publique-Hôpitaux de Marseille) pour " aider la police municipale à mieux anticiper la sécurité " lors de grands événements, comme des matchs de football ou des manifestations de rue. " Nous travaillons avec la CNIL - Commission nationale de l'informatique et des libertés - dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection ", assure la mairie.
" Banalisation de la surveillance "
L'utilisation d'algorithmes s'est généralisée ces dernières années dans la police, notamment dans le cadre des enquêtes, pour cibler une personne en croisant les données relatives à un crime. Mais la mise en place d'un tel outil par une municipalité pose de nombreuses questions. Pour Félix Tréguer, membre de La Quadrature du Net, une association de défense des droits et libertés des citoyens sur Internet, " même si au début on nous vend des dispositifs encadrés, on constate une accoutumance à ces systèmes, qui banalisent la société de surveillance. C'est la logique même de ces outils qui doit être interrogée. L'idée selon laquelle la technologie va résoudre des problèmes sociaux et qu'en investissant des milliers d'euros on arrivera à garantir la sécurité est un leurre ".
Le sociologue Bilel Benbouzid souligne les limites d'une politique conduite par la donnée. " En confiant la distribution des ressources en matière de sécurité à un algorithme, on s'en remet à une machine. Mais sur quels critères ? Il existe toujours des critères de pondération : pour le logiciel américain PredPol (qui détermine les zones à risque de criminalité en analysant la localisation des crimes passés), c'est le coût du crime. D'autres programmes mettent en avant la gravité des faits. Dans tous les cas, ces priorités déterminent des choix politiques, qui doivent être expliqués. "
Face à la prolifération des données, le laboratoire de prospective de la CNIL préconise la création de " comités consultatifs sur la vie privée " dans les collectivités. De son côté, le RGPD (Règlement européen de protection des données), qui entrera en vigueur le 25 mai, imposera aux collectivités de réaliser une analyse d'impact pour tout service engendrant un risque élevé pour les droits et les libertés.
DATE-CHARGEMENT: 5 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Monde Interactif
Tous Droits Réservés
58 of 500 DOCUMENTS
Le Télégramme
Mardi 6 Février 2018
Données personnelles. Protection accrue
RUBRIQUE: actualite; france
LONGUEUR: 769 mots
ENCART: L'Assemblée examine, à partir de ce mardi, le projet de loi sur la protection des données personnelles, un texte d'application du droit européen qui fixe notamment la « majorité numérique » à 15 ans et sera globalement soutenu des Républicains aux communistes. En voici les grandes lignes.
« Le développement de l'ère numérique oblige à repenser le cadre applicable aux données personnelles », explique la ministre de la Justice, Nicole Belloubet, qui défendra le texte de projet de loi sur la protection des données personnelles, dans l'Hémicycle, ce mardi. Cette révision de la loi informatique et libertés, de 1978, est indispensable avant l'entrée en vigueur, le 25 mai, du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux. [NUMERO_TXT]1. [/NUMERO_TXT]
Protection des données personnelles au niveau européen. Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE. Ainsi, « l'Europe disposera d'un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles », selon Mounir Mahjoubi, secrétaire d'État au Numérique. [NUMERO_TXT]2.[/NUMERO_TXT]
Les sociétés détentrices de données responsables de celles-ci. Le texte remplace le système de contrôle a priori - avec des déclarations et des autorisations préalables - par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente - en France, la Commission nationale de l'informatique et des libertés - en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros. « Il s'agit d'alléger les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes ». [NUMERO_TXT]3.[/NUMERO_TXT]
La « majorité numérique » abaissée à 15 ans. Autre point sensible, l'âge à partir duquel un mineur peut s'inscrire sur des réseaux sociaux sans autorisation parentale. Le règlement européen fixe cette majorité numérique à 16 ans, mais autorise les États membres à l'abaisser jusqu'à 13 ans. Alors que le gouvernement avait maintenu ce seuil, les députés l'ont abaissé en commission, de manière consensuelle, à 15 ans, « âge où le mineur entre généralement au lycée et où sa maturité lui permet, en principe, de maîtriser les usages sur internet », selon la rapporteure Paula Forteza (LREM), ancienne d'Etalab, service de Matignon chargé de coordonner l'ouverture des données publiques. [NUMERO_TXT]4.[/NUMERO_TXT]
Réparation de préjudices et réutilisation de données sensibles. Les députés ont également introduit la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral. Un amendement gouvernemental prévoit, lui, d'autoriser la réutilisation des données sensibles dans la mise en open data des décisions de justice, à condition que cette réutilisation ne permette pas « la ré-identification des personnes ». [NUMERO_TXT]5.[/NUMERO_TXT]
Droits d'accès, de rectification et d'effacement des données. S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le TAJ (traitement des antécédents judiciaires). Un amendement LFI a été adopté pour « assurer la proportionnalité de la durée de conservation », compte tenu « de l'objet du fichier, et de la nature ou de la gravité des infractions concernées ». [NUMERO_TXT]6.[/NUMERO_TXT]
Des fichiers souverains. Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.
DATE-CHARGEMENT: 6 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Bretagne.com
Tous droits réservés
59 of 500 DOCUMENTS
Le Républicain Lorrain
Mardi 6 février 2018
EDITION TTE
Données personnelles : tout va bientôt changer;
TechnologieL'Union européenne impose une nouvelle norme
RUBRIQUE: 00-IG; Fait du jour; Pg. 2
LONGUEUR: 517 mots
C'est un compte à rebours silencieux, dont le citoyen n'a encore guère entendu parler. Le 25 mai prochain, l'Union européenne basculera dans une nouvelle ère : c'est ce jour qu'entrera en vigueur le Règlement général européen sur la protection des données (RGPD). Et des millions d'entreprises vont devoir s'y conformer, sous peine d'amendes faramineuses ou de se couper du juteux marché européen.
L'enjeu est à la mesure de la place centrale des données personnelles dans la « nouvelle économie ». Ces dernières sont devenues le carburant dont se repaissent géants du net et régies publicitaires, big data et intelligences artificielles. Et un sujet croissant d'inquiétude pour les citoyens : selon la dernière étude du CSA(*), 85% des Français se disaient préoccupés par la protection de leurs données.
Des entreprises responsabilisées
En France, le RGPD va introduire un changement complet de paradigme. Terminé l'actuel régime de déclarations à la CNIL. Désormais, le contrôle sera assuré a posteriori. Mais gare aux contrevenants. « Les sanctions sont beaucoup plus importantes qu'auparavant. Cela va totalement changer le regard des entreprises », analyse Maryline Laurent. professeure à Télécom SudParis et cofondatrice de la chaire « Valeurs et politiques des informations personnelles » de l'Institut Mines-Télécom.
D'autant que les nouveautés, dans un texte qui se veut la législation la plus protectrice au monde, sont loin d'être anecdotiques. Une des principales sera l'obligation de recueillir un « consentement explicite » avant tout traitement de données personnelles. En d'autres termes, terminé les cases précochées et autres autorisations « génériques ». Il faudra préciser qui utilisera quelles données, pourquoi et comment... Le sujet donne déjà des sueurs froides aux régies publicitaires en ligne du monde entier.
Majorité numériqueà 15 ans
Le RGPD consacre également de nouveaux droits, notamment le droit à la rectification et à l'effacement (le fameux « droit à l'oubli » reconnu en 2014 par la Cour de justice de l'Union européenne) ou celui à la portabilité des données : concrètement, chacun sera en droit d'exiger, dans un format lisible et exploitable, la totalité des données le concernant.
Un droit à réparation sera également ouvert, et les entreprises astreintes à une obligation de sécurisation des données. En cas de fuite, elles auront 72 heures pour le signaler. Sinon gare !
Le traitement des données relatives aux enfants bénéficiera d'un encadrement spécial, avec, pour les moins de seize ans le consentement obligatoire d'un titulaire de l'autorité parentale. En France, le seuil de cette « majorité numérique » pourrait toutefois être abaissé à quinze : c'est ce qui ressort du projet de loi chargé de transposer le RGPD, qui débutera son examen cet après-midi à l'Assemblée nationale. En procédure accélérée : il reste à peine quatre mois avant l'entrée en vigueur du règlement.
Adopté le 14 avril 2016 par le Parlement européen, le RGPD est un des textes les plus ambitieuxen matière de protection des données personnelles. Photo CC Unsplash
DATE-CHARGEMENT: 6 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Républicain Lorrain
tous droits réservés
60 of 500 DOCUMENTS
Le Cercle
mardi 6 février 2018
Le projet de loi n° 490, une avancée en matière de protection des données, mais des zones d'ombre persistent...
AUTEUR: Ludovic Broyer
RUBRIQUE: ARTICLE; Qu'est-ce que "l'intérêt légitime" ?
LONGUEUR: 1015 mots
ENCART: La mise en place du RGPD entrera en vigueur le 25 mai 2018. Tous les pays membres de l'Union européenne doivent mettre en conformité leurs législations nationales avec ce nouveau règlement européen. En France, le projet de loi n° 490, relatif à la protection des données personnelles, présenté à l'Assemblée en février 2018, est quant à lui, destiné à compléter en France les dispositions du RGPD.
Le premier objectif de ce projet de loi est de responsabiliser les entreprises qui doivent se montrer actives dans la protection des données et mettre en oeuvre des actions. Celles-ci ne devront plus se contenter de "déclaration", mais tenir un "registre des activités de traitement", effectuer des "analyses d'impact relatives à la protection des données" lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, ou encore faire appel à un "délégué à la protection des données" qui vient remplacer le CNIL. Le second objectif est de renforcer le droit des personnes en leur accordant de nouveaux droits.
Bien que ce projet de loi n° 490 souligne un besoin réel de changement dans l'encadrement de la protection des données à caractère personnel, il possède encore des zones d'ombres qui risquent de compromettre la mise en application des droits gagnés des utilisateurs, et qui demandent aux Responsables de Traitement de réaliser des concessions.
Qu'est-ce que "l'intérêt légitime" ?
Pour être licite, un traitement de données à caractère personnel doit respecter l'une des six bases légales fixées par le Règlement à savoir l'exécution d'un contrat, l'obligation légale, le consentement, l'intérêt vital, l'intérêt légitime.
La notion d'intérêt légitime est subjective et n'a pas la même ampleur pour toutes les entreprises. Pourtant l'intérêt légitime sera l'une des bases juridiques valables pour se passer du consentement de l'utilisateur.
Chaque Responsable de Traitement devra alors posséder la preuve du consentement de la personne faisant l'objet du traitement de données, sauf dans plusieurs cas précis, comme celui de la poursuite légitime. Comment définit-on alors l'intérêt légitime ?
Les moyens d'exercice de son droit
Comment permettre aux internautes de faire appliquer leurs droits de suppression, d'information ou de limitation ? Quels sont les moyens d'exercice qui garantiront aux usagers de ne pas voir leurs demandes rester sans réponse ? Pourquoi reconnaître des droits s'il n'existe pas de canal d'application permettant de les faire exécuter ?
Il est important que les obligations du Responsable de Traitement soient assorties des modalités d'application adaptées. Également, il serait pertinent de voir la "demande par email" considérée, d'autant que l'essentiel des fichiers comporte et porte un email, et d'indiquer des délais suffisamment courts pour que cela soit efficace et que les demandes des internautes soient traitées par les éditeurs du fichier.
Devoir d'information des Responsables de Traitement
Les modalités de mise en oeuvre du devoir d'information des Responsables de Traitement n'ont pas été évoquées de façon précise : l'information doit être compréhensible, accessible, en termes clairs. Que se passe-t-il après avoir rempli ce devoir d'information "one shot" ?
Si les responsables de traitement envoyaient une fois par an un email récapitulatif à toutes personnes concernées par le traitement sur leur adresse mail utilisée pour le fichier, cela permettrait aux internautes de se rappeler quelles informations sont fichées, et leur fournirait un point de contact utilisable (adresse d'email utilisée pour l'envoi) pour faire appliquer leurs droits. Naturellement, un délai de réaction adapté doit courir dès l'envoi de l'email, au-delà duquel une non-réponse vaudra refus ou manquement et donc permettra à l'intéressé de se tourner vers la CNIL.
La CNIL verra alors ses pouvoirs et ses devoirs de gendarme du web renforcés. Aura-t-elle ainsi ses moyens d'action, humains et matériels, ajustés à la hauteur des objectifs qui seront désormais les siens ? Si ce n'est pas, cela aggravera l'impression générale que la CNIL ne peut traiter qu'une infime partie des signalements.
Durée de conservation des données
Est-il souhaitable qu'un moteur de recherche géant ou une société de remarketing puisse conserver 40 ans d'historique de la vie de quelqu'un ? Comment l'utilisateur sera-t-il informé que ces données ont bien été supprimées, sans contacts spontanés réguliers avec le Responsable de Traitement ? Cela ne renvoie-t-il pas à la nécessité d'informer régulièrement l'utilisateur ?
Pris ensemble, ces éléments imposent aux Responsables de Traitement de fournir aux internautes une adresse email pour faire appliquer leurs droits. La mise à disposition de requêtes automatisées accessibles par URL est certainement la meilleure solution pour toutes les parties : garantie d'action immédiate pour le demandeur, et annulation de l'encombrement service client lié au traitement humain des demandes côté Responsable de Traitements.
Sécurisation des données
La responsabilité de la sécurisation des données incombe au Responsable de Traitement comme le vol de données ou le hacking. Le manquement à ses obligations peut entraîner de lourdes sanctions prononcées par la CNIL dont le rôle sera de distribuer des amendes, et pourtant de nombreuses sociétés n'ont encore aujourd'hui aucune gestion sérieuse de leurs données.
De nombreuses sociétés vont à présent se positionner sur l'appel d'air du RGPD et vendre des registres, des audits à de nombreuses sociétés. Une prestation pour sécuriser a minima leurs bases de données.
Comment les entreprises informeront-elles leurs prospects/clients ? Comment pourront-elles gérer leurs demandes, la mise à jour de leurs registres ? Ces flous persistants sont aussi un problème pour la majorité des Responsables de Traitement qui ne sont pas nécessairement des grands moteurs de recherche ou des sociétés de targeting.
Ce texte de Loi est une avancée, mais des éléments concrets pour protéger l'identité numérique des personnes manquent encore, comme cadrer les raisons qui permettent de se passer du consentement mieux qu'avec l'intérêt légitime de l'entreprise contre l'attente raisonnable de l'utilisateur ; donner de vrais moyens pour exercer les droits de l'internaute lorsque l'écueil de l'intérêt légitime sera évité ; mieux expliciter le devoir d'information des Responsables de Traitement n'est pas explicité ; la durée de la conservation des données...
DATE-CHARGEMENT: 7 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
61 of 500 DOCUMENTS
RiskAssur
mardi 6 février 2018
POP Santé a choisi be-itys
RUBRIQUE: ACCORD
LONGUEUR: 844 mots
La direction des systèmes d'information de POP Santé souhaitait se concentrer sur son coeur de métier dont l'objet est de paramétrer les ERP permettant de gérer la relation avec les assurés tout au long du cycle de vie de leurs contrats.
C'est ainsi que pour héberger ses données de santé (soumis à un ensemble de règles strictes visant à préserver la confidentialité et l'intégrité des données recueillies auprès des différents intervenants et notamment des patients) POP Santé a retenu be-itys, entreprise du groupe be-ys.
Eric Boulet, le Directeur des Systèmes d'Information de POP Santé, explique " Dans ce contexte, nous avons décidé de confier à be-itys l'hébergement de nos applications critiques afin d'héberger nos données dans les meilleures conditions de sécurité et de conformité réglementaire ".
L'expertise historique du groupe be-ys - au travers de be-almerys - dans le domaine de la santé, lui permettait de répondre à la demande de POP Santé. Il faut noter que la procédure d'agrément des hébergeurs de données de santé à caractère personnel a été remaniée par la loi de modernisation du système de santé du 26 janvier 2016 au bénéfice d'une procédure de certification (la loi de modernisation de notre système de santé n\xB02016-41 a été promulguée le 26 janvier 2016 et publiée au journal officiel le 27 janvier 2016).
Réalisé en plusieurs étapes, le projet a démarré fin 2016 par l'hébergement du datawarehouse. POP Santé a pris la décision d'héberger son environnement de production au sein de be-itys tout en gardant les environnements de développement restant au sein de POP Santé. Ainsi, la plateforme est en production chez be-itys depuis mai dernier.
Aujourd'hui POP Santé a fait le choix d'héberger progressivement, d'ici au second semestre 2018, les SI critiques au sein de be-itys notamment son outil Belair, utilisé pour la gestion prévoyance, assurance affinitaire et le calcul du commissionnement des apporteurs d'affaires.
Be-itys s'appuie sur ses propres datacenters hyper sécurisés et déjà éprouvés au travers de son entreprise historique be-almerys, l'un des premiers gestionnaires de tiers payant en France, dont l'activité repose sur la gestion des données particulièrement sensibles de santé.
Be-itys est le seul acteur du marché à intégrer un tel niveau de sécurité et de gestion des infrastructures, des applications et des données traitées parce que le niveau d'exigence a été surqualifié pour anticiper les évolutions du marché et les réglementations nationales et européennes.
A propos de POP Santé
POP Santé est spécialiste de la gestion déléguée en complémentaire santé, prévoyance et affinitaire. Avec 100 000 personnes protégées, POP Santé vise en permanence à optimiser la satisfaction clients, avec en particulier l'industrialisation des opérations. POP Santé a notamment obtenu la certification ISO 9001 v 2008 en 2014, puis ISO 9001 v 2015 en 2017.
POP Santé devient ainsi un centre de gestion en capacité d'assurer un maintien de service sécurisé et engage un nouveau plan de protection des données conforme aux normes RGPD avec l'appui de be-itys.
A propos de be-itys
be-itys met à disposition des infrastructures IaaS et hybrides hautement sécurisées pour l'hébergement de données sensibles à fort volume (santés, personnelles et confidentielles).
Le Trust Center permet d'offrir, notamment, les services suivants : gestion de l'identité (token, carte d'accès...), signature électronique et horodatage, cryptographie, archivage, anonymisation et data room.
A Titre d'exemples, SwissLife et Klesia utilisent les solutions be-itys dans la gestion de leurs prestations de santé hors tiers payant et tiers payant.
Allianz et AG2R LA MONDIALE pour leurs services santé, e-santé et prévention.
Harmonie mutuelle et le Conseil National des barreaux pour leurs services de confiance numérique.
En Europe, Deutshe Post DHL pour la signature électronique ou encore BNP Lease dans la dématérialisation de leurs contrats.
Créée en 2000, almerys a construit son activité à partir de la gestion de prestations de santé et des services pour les assurances complémentaires. Tiers de confiance, expert du traitement et de la sécurisation des données sensibles, almerys s'est positionnée sur les marchés du traitement industriel des données numériques, y compris à l'international. Elle gère aujourd'hui des flux de données significatifs provenant de plus de 20 000 professionnels de santé, pour un peu plus de 20 Millions de bénéficiaires et un total de 92 millions de transactions temps réel en 2016. Grâce à sa dynamique d'innovation permanente, almerys, en travaillant aux côtés de ses clients et partenaires, facilite et accélère le développement de nouveaux services en réponse aux évolutions des écosystèmes et des usages associés. C'est dans ce contexte qu'almerys, qui devient be-almerys, évolue en rejoignant le groupe be-ys, porteur d'une offre universelle pour toute activité économique nécessitant la maîtrise de l'identité numérique, des flux de données personnelles et confidentielles et de leurs traitements.
DATE-CHARGEMENT: 6 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Franol Services
tous droits réservés
62 of 500 DOCUMENTS
RiskAssur
mardi 6 février 2018
QBE France propose une assurance cyber pour les PME et ETI
RUBRIQUE: NEW
LONGUEUR: 946 mots
L'accroissement de la cybercriminalité et le durcissement de la règlementation en matière de protection des données font du risque cyber un véritable défi à relever pour toutes les entreprises. En effet, celles-ci sont devenues une cible de choix pour les cybercriminels.
L'année 2017 a vu se multiplier les cyber attaques : ransomwares (WannaCry, NotPetya, Bad Rabbit...), et dénis de service (DDOS) représentent des menaces pour toutes les entreprises, quelle que soit leur taille.
Françoise Mari, Directrice Lignes Financières de QBE France, explique " Aujourd'hui, la gestion du risque cyber devient un enjeu incontournable pour les PME et ETI. En effet, les petites et moyennes entreprises, parce que moins sensibilisées à cette problématique, sont particulièrement vulnérables face aux attaques visant leurs systèmes d'information. Ainsi, nous avons souhaité mettre en place une offre complète, comprenant des services à forte valeur ajoutée, qui permettent à ces entreprises de mieux comprendre où sont leurs besoins et d'appréhender au mieux la prévention et la gestion de ce risque cyber. "
Les PME et ETI sont de plus en plus exposées au risque cyber, mais ne disposent pas toujours des ressources internes pour prévenir et gérer ce risque de façon optimale. Pour répondre à ce besoin, QBE France s'est associé à des partenaires reconnus pour développer une offre cyber complète comportant 3 volets : prévention, assurance, et assistance à la gestion de crise.
L'année 2017 a vu se multiplier les cyber attaques : ransomwares (WannaCry, NotPetya, Bad Rabbit...), et dénis de service (DDOS) représentent des menaces pour toutes les entreprises, quelle que soit leur taille. Un fait corroboré par l'étude OpinionWay sur la gestion des risques des PME et ETI réalisée pour QBE fin 2017 et publiée dans le cadre des Rencontres AMRAE 2018. En effet, 43% des entreprises notent une augmentation des risques liés à la cybercriminalité sur les 12 derniers mois.
Parallèlement, l'environnement législatif se fait de plus en plus contraignant pour les entreprises qui doivent redoubler de vigilance, à l'instar de l'application, obligatoire à partir de mai 2018, des nouvelles règles liées à la protection des données personnelles (RGPD).
Cette nouvelle législation impose des devoirs et obligations en termes de collecte et sécurisation des données, qui devra être appliquée par toutes les entreprises ayant un établissement au sein de l'Union Européenne et/ou traitant des données de résidents européens.
1. Une prestation de conseil pour aider les entreprises à prévenir le risque cyber
Convaincu que la gestion du risque passe d'abord par l'anticipation, QBE propose à certains clients sélectionnés une prestation gratuite de conseil en prévention. Cette offre comprend notamment des tests d'intrusion dans les systèmes d'information de l'entreprise, simulant des conditions d'attaques réalistes. Elle aide les entreprises à mieux identifier les risques auxquels elles sont exposées, à identifier leurs vulnérabilités et à mettre en oeuvre les plans d'actions permettant de prévenir ces risques potentiels.
2. Une solution d'assurance aux garanties étendues
La composante " assurance " de cette offre se veut claire et complète. Elle allie à la fois des garanties de responsabilité et des garanties de dommage. Sont notamment couverts les frais liés aux réclamations ou à une violation des obligations légales relative aux données, ainsi que les pertes ou frais résultant d'une atteinte au système d'information (perte d'exploitation, frais supplémentaire d'exploitation, menaces d'extorsion, frais de restauration des installations informatiques, frais de reconstitution des données, etc.). Le contrat QBE comporte également la prise en charge des frais de notification et des frais d'urgence, ainsi qu'une garantie vol/détournement.
3. Un accompagnement de l'entreprise dans la gestion de la crise cyber
Le contrat d'assurance cyber développé par QBE inclut également un service d'assistance technique permettant de contrer la cyber attaque.
Pour délivrer ce service, QBE s'est associé à la société INQUEST, filiale du groupe GM CONSULTANT spécialisée dans la gestion des risques pour les entreprises et notamment des risques Cyber. Disponibles 24h/24 et 7 jours sur 7, les experts d'INQUEST prennent en charge la gestion de l'attaque jusqu'à sa remédiation. Une fois l'attaque résolue, ils fournissent à l'entreprise assurée une analyse technique détaillée de la cyber attaque et lui transmettent les preuves qu'ils ont collectées pour suite pénale éventuelle. L'ensemble des frais engagés par la société INQUEST sont pris en charge par QBE, dans la limite du montant prévu au contrat d'assurance.
A propos de QBE France
Spécialiste en assurance des entreprises et des professionnels, QBE France leur propose par l'intermédiaire de leurs courtiers, des solutions d'assurance à la fois innovantes et adaptées à leurs besoins.
Capable d'accompagner les entreprises en France comme à l'international, QBE France intervient notamment sur les branches : Dommages, Responsabilité Civile Générale, Construction, Lignes financières et Caution.
Présente à Paris, QBE France est également dotée de 4 délégations régionales situées à Lyon, Strasbourg, Nantes et Bordeaux pour être au plus près des entreprises et de leurs courtiers.
Groupe QBE
Le Groupe QBE, noté A+ par Standard & Poor's, est l'un des premiers assureurs et réassureurs mondiaux. Fort de 14.200 collaborateurs, le Groupe QBE intervient sur les principaux marchés de l'assurance dans le monde. Coté à la bourse de Sydney, QBE a réalisé un chiffre d'affaires 2016 de 14,1 milliards US$ (primes brutes émises).
DATE-CHARGEMENT: 6 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Franol Services
tous droits réservés
63 of 500 DOCUMENTS
Vosges Matin
Mardi 6 février 2018
EDITION TTE
Données personnelles : tout va bientôt changer;
TechnologieNouvelles normes
RUBRIQUE: 00-IG; Le fait du jour; Pg. 11
LONGUEUR: 517 mots
C'est un compte à rebours silencieux, dont le citoyen n'a encore guère entendu parler. Le 25 mai prochain, l'Union européenne basculera dans une nouvelle ère : c'est ce jour qu'entrera en vigueur le Règlement général européen sur la protection des données (RGPD). Et des millions d'entreprises vont devoir s'y conformer, sous peine d'amendes faramineuses ou de se couper du juteux marché européen.
L'enjeu est à la mesure de la place centrale des données personnelles dans la « nouvelle économie ». Ces dernières sont devenues le carburant dont se repaissent géants du net et régies publicitaires, big data et intelligences artificielles. Et un sujet croissant d'inquiétude pour les citoyens : selon la dernière étude du CSA(*), 85% des Français se disaient préoccupés par la protection de leurs données.
Des entreprises responsabilisées
En France, le RGPD va introduire un changement complet de paradigme. Terminé l'actuel régime de déclarations à la CNIL. Désormais, le contrôle sera assuré a posteriori. Mais gare aux contrevenants. « Les sanctions sont beaucoup plus importantes qu'auparavant. Cela va totalement changer le regard des entreprises », analyse Maryline Laurent. professeure à Télécom Sud Paris et cofondatrice de la chaire « Valeurs et politiques des informations personnelles » de l'Institut Mines-Télécom.
D'autant que les nouveautés, dans un texte qui se veut la législation la plus protectrice au monde, sont loin d'être anecdotiques. Une des principales sera l'obligation de recueillir un « consentement explicite » avant tout traitement de données personnelles. En d'autres termes, terminé les cases précochées et autres autorisations « génériques ». Il faudra préciser qui utilisera quelles données, pourquoi et comment... Le sujet donne déjà des sueurs froides aux régies publicitaires en ligne du monde entier.
Majorité numérique à 15 ans
Le RGPD consacre également de nouveaux droits, notamment le droit à la rectification et à l'effacement (le fameux « droit à l'oubli » reconnu en 2014 par la Cour de justice de l'Union européenne) ou celui à la portabilité des données : concrètement, chacun sera en droit d'exiger, dans un format lisible et exploitable, la totalité des données le concernant.
Un droit à réparation sera également ouvert, et les entreprises astreintes à une obligation de sécurisation des données. En cas de fuite, elles auront 72 heures pour le signaler. Sinon gare !
Le traitement des données relatives aux enfants bénéficiera d'un encadrement spécial, avec pour les moins de seize ans le consentement obligatoire d'un titulaire de l'autorité parentale. En France, le seuil de cette « majorité numérique » pourrait toutefois être abaissé à quinze : c'est ce qui ressort du projet de loi chargé de transposer le RGPD, qui débutera son examen cet après-midi à l'Assemblée nationale. En procédure accélérée : il reste à peine quatre mois avant l'entrée en vigueur du règlement.
Adopté le 14 avril 2016 par le Parlement européen, le RGPD est un des textes les plus ambitieux en matière de protection des données personnelles. Photo CC-Unsplash
DATE-CHARGEMENT: 6 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Vosges Matin
tous droits réservés
64 of 500 DOCUMENTS
L'Echo Républicain
Lundi 5 Février 2018
Echo Edition
L'Assemblée nationale se penche à partir de demain sur la protection des données personnelles
RUBRIQUE: IG OUVERTURE
LONGUEUR: 522 mots
ENCART: La protection à l'ère numérique
«L e développement de l'ère numérique oblige à repenser le cadre applicable aux données personnelles », explique la ministre de la Justice, Nicole Belloubet, qui défendra le texte dans l'hémicycle.
Cette révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux.
Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE.
Ainsi, « l'Europe disposera d'un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles », selon Mounir Mahjoubi, secrétaire d'État au Numérique.
« Responsabilisation »
Facebook, souvent critiqué pour l'usage fait des données de ses utilisateurs, a ainsi indiqué lundi avoir mis en place une importante équipe pour se préparer à cette loi. Le texte remplace le système de contrôle a priori avec des déclarations et des autorisations préalables par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente en France, la Cnil en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
« Il s'agit d'alléger les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes ».
Les députés ont également introduit la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral.
S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le traitement des antécédents judiciaires.
Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.
DATE-CHARGEMENT: 5 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: ECHO
Copyright 2018 L'Echo Républicain
Tous droits réservés
65 of 500 DOCUMENTS
La Montagne
Lundi 5 Février 2018
Brive Edition; Cantal Edition; Creuse Edition; Haute-Loire Edition; Issoire Edition; Clermont Limagne Edition; Clermont Metropole Edition; Montlucon Edition; Moulins Edition; Riom Edition; Thiers-Ambert Edition; Tulle Edition; Vichy Edition; Clermont Volcans Edition
L'Assemblée nationale se penche à partir de demain sur la protection des données personnelles
RUBRIQUE: IG OUVERTURE
LONGUEUR: 522 mots
ENCART: La protection à l'ère numérique
«L e développement de l'ère numérique oblige à repenser le cadre applicable aux données personnelles », explique la ministre de la Justice, Nicole Belloubet, qui défendra le texte dans l'hémicycle.
Cette révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux.
Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE.
Ainsi, « l'Europe disposera d'un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles », selon Mounir Mahjoubi, secrétaire d'État au Numérique.
« Responsabilisation »
Facebook, souvent critiqué pour l'usage fait des données de ses utilisateurs, a ainsi indiqué lundi avoir mis en place une importante équipe pour se préparer à cette loi. Le texte remplace le système de contrôle a priori avec des déclarations et des autorisations préalables par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente en France, la Cnil en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
« Il s'agit d'alléger les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes ».
Les députés ont également introduit la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral.
S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le traitement des antécédents judiciaires.
Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.
DATE-CHARGEMENT: 5 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: BRIVE; CANTAL; CREUSE; HAUTE-LOIRE; ISSOIRE; LIMAGNE; METROPOLE; MONTLUCON; MOULINS; RIOM; THIERS-AMBERT; TULLE; VICHY; VOLCANS
Copyright 2018 La Montagne et lamontagne.fr
Tous droits réservés
66 of 500 DOCUMENTS
Le Monde.fr
Lundi 5 Février 2018
Transport, santé, sécurité... le grand bazar des données urbaines
AUTEUR: Claire Legros
LONGUEUR: 2186 mots
Les joggers adorent Strava. Cette application d'origine américaine leur permet d'échanger leurs performances et de se retrouver sur les lieux de course en ville, puisque tout le monde est géolocalisé. Un réseau social du footing, avec cartes à l'appui, pour aider les collectivités à repérer les aménagements nécessaires aux pratiques sportives dans la ville. Seul problème, dévoilé le 27janvier par un étudiant en sécurité internationale: on peut aussi y repérer les parcours des militaires qui font du sport près de leur base, au Mali ou en Afghanistan, ce qui n'est pas vraiment du goût des généraux.
Bienvenue dans le grand bazar des données urbaines. Issu des multiples capteurs disséminés dans nos véhicules, nos appartements et jusqu'au fond de nos poches avec nos smartphones, le déluge ininterrompu de données refonde les villes en profondeur. En échange de services de plus en plus efficaces, acteurs publics et privés amassent des informations sur nos trajets et habitudes.
Alors que responsables politiques etentreprises plébiscitent l'avènement des cités numériques, leshabitants restent méfiants
Certains y voient la promesse réjouissante d'un trafic plus fluide, d'un habitat économe en énergie, d'une transparence des marchés publics, de relations plus étroites entre membres d'une communauté - comme les adeptes du jogging... Pour d'autres, c'est le cauchemar de cités panoptiques, façon Big Brother, qui est en train de se concrétiser.
Aucun secteur n'échappe à cette transformation radicale: consommation d'eau et d'énergie, mobilité, commerce, santé, sécurité... Mais numériser la ville ne suffit pas à la rendre intelligente. Dans une société de la connexion permanente, le big data urbain représente aussi une source d'inquiétudes. Alors que responsables politiques et entreprises plébiscitent l'avènement des cités numériques, les habitants restent méfiants, comme l'a montré une enquête, publiée en novembre2017, de l'Observatoire société et consommation (L'Obsoco) et du cabinet d'études Chronos. Moins d'une personne interrogée sur trois souhaite partager ses données pour contribuer au bon fonctionnement de la «smart city».
La ville connectée est-elle compatible avec la protection des libertés individuelles? Doit-on soumettre les politiques publiques à la régulation statistique? L'intérêt général peut-il se résumer à la somme des intérêts des utilisateurs d'applications? Le citoyen est-il condamné à rester un pourvoyeur de données que l'on traque pour mieux l'orienter? A la croisée du juridique, du politique et de l'éthique, ces questions sont au coeur du projet de la «smart city».
Ouverture des données
Sur la plate-forme de données de la Ville de Paris, ouverte à tous sous certaines conditions, on trouve à la fois la liste des livres les plus réservés dans les bibliothèques, les marchés publics de plus de 20000euros ou les subventions accordées aux associations. Depuis une dizaine d'années, les grandes villes françaises ont basculé progressivement vers l'open data: après les avoir anonymisées et agrégées, elles publient les données collectées par leurs administrations. L'objectif de ce partage est double. Il s'agit à la fois de faire preuve de transparence et de stimuler l'innovation en suscitant de nouveaux services.
A Montpellier, la start-up LKSpatialist fait figure de modèle du genre. A partir des données cadastrales ouvertes par la ville, elle développe des logiciels d'aide aux agents immobiliers pour repérer en quelques clics les caractéristiques d'un logement: proximité d'une école, réglementations particulières... Elle est passée de 3 à 38salariés en trois ans.
En théorie, la loi impose aux villes de plus de 3500habitants d'ouvrir leurs données enoctobre2018, de même qu'aux entreprises qui gèrent un service public - transports ou réseau d'eau. A ce jour, selon l'Observatoire de l'open data en France, qui doit être lancé le 8février, environ 300 des 4000collectivités concernées sont passées à l'acte. «On est loin du compte, estime Jacques Priol, fondateur d'une société de conseil aux collectivités et auteur du Big Data des territoires (FYP Editions, 2017). Les petites communes n'ont pas les moyens techniques de l'open data.»
«Chef d'orchestre du territoire»
L'autre grand chantier de la ville connectée concerne la cohabitation avec le secteur privé. Airbnb, Google, Uber... Les plates-formes de partage, en lien direct avec les usagers, bousculent le modèle classique de gouvernance urbaine, dépossédant au passage les acteurs publics de leur capacité à organiser une partie des services. Les collectivités cherchent à reprendre la main.
A Rennes, la métropole vient de lancer un «service public métropolitain de la donnée» pour «une gouvernance commune de l'information, qu'elle soit publique ou privée», indique Bernadette Kessler, responsable de l'innovation numérique de Rennes Métropole. Pionnière de l'open data, la collectivité veut aller plus loin. Elle étudie avec des partenaires privés les conditions juridiques d'un partage «pour améliorer les services existants et en créer de nouveaux». «Tout le monde, ou presque, utilise Uber, Google Map ou Waze, pour ne citer que les plus connus. Est-ce que ce seul critère suffit pour définir les services publics de demain?», s'interroge Marion Glatron, directrice déléguée à l'innovation et à la smart city.
A Lille, la métropole se positionne, elle, en régulateur des services numériques. «Nous voulons mettre en place une supervision, être le chef d'orchestre du territoire au nom de l'intérêt général, affirme Akim Oural, conseiller métropolitain aux nouvelles technologies. On ne veut plus subir, comme on l'a fait avec Airbnb ou Uber.»
«Quatre minutes avant les services d'urgence»
Depuis juillet, la Métropole européenne lilloise (MEL) dispose d'informations sur le trafic en temps réel, issues des milliers d'utilisateurs de l'appli Waze, qui l'alerte sur les accidents et les bouchons. «En échange, la collectivité nous apporte des informations prévisibles qui peuvent avoir un impact sur l'état de la route - événements sportifs, brocantes, travaux», détaille Jérôme Marty, directeur général France de Waze, qui travaille aussi avec l'agglomération Versailles Grand Parc et le département du Loiret. «On a calculé qu'en moyenne, Waze alerte quatre minutes avant que les services d'urgence ne soient au courant, avec une mise à jour toutes les cinq minutes. Ces informations sont précieuses pour un service public», assure Etienne Pichot-Damon, chargé de l'open data à la MEL.
De son côté, lamétropole deMontpellier achoisi demiser sursespropres ressources afin delimiter ladépendance auxplates-formes privées
L'expérience est suivie avec attention par de nombreux services urbains, même si tous ne sont pas enclins à pactiser avec les producteurs de données. Le Grand Lyon a décliné les avances de Waze au motif que «les conditions d'un partenariat ne sont pas réunies, explique Karine Dognin-Sauze, vice-présidente de la métropole de Lyon. Nous ne pouvons pas accepter un accord avec une société qui incite ses usagers à emprunter à 8h30 des rues tranquilles bordées par une école.»
De son côté, la métropole de Montpellier a choisi de miser sur ses propres ressources afin de limiter la dépendance aux plates-formes privées. «Nous voulons rester autonomes en utilisant nos propres capteurs, expose Jérémie Valentin, responsable de l'open data à la métropole. Qui nous dit que l'offre de Waze sera durable?»
Données au compte-gouttes
Du côté des plates-formes, les opérations de séduction se multiplient. Ces derniers mois, des acteurs majeurs ont ouvert des informations destinées aux pouvoirs publics. Uber affiche sur sa plate-forme Uber Movement, depuis le 20octobre 2017, les temps de trajet calculés à partir des parcours de ses conducteurs. Le service de VTC veut «aider les villes à prendre des décisions», selon Alexandre Droulers, le directeur des projets pour l'Europe de l'Ouest. Ce qui ne l'empêche pas de livrer ses données au compte-gouttes...
« Les stratégies desplates-formes nedoivent rien auhasard. Elles semettent en ordre debataille envue desdiscussions àvenir, notamment sur larégulation» SimonChignard conseiller àEtalab
Uber a travaillé en collaboration avec l'Institut d'aménagement et d'urbanisme (IAU) de la région Ile-de-France, dont le directeur du département mobilité, Dany Nguyen Luong, reconnaît que l'offre «apporte des informations inédites. Nous pouvons par exemple comparer les temps de parcours à différentes heures de la journée». Pour autant, ces informations restent trop limitées, selon lui: «On aurait besoin du volume du trafic: nombre de passagers, de VTC en circulation... Ces données restent confidentielles, alors qu'elles relèvent autant de l'intérêt général que celles des opérateurs traditionnels de délégations de service public.»
Même déception après l'ouverture, le 21novembre 2017, du portail DataVille d'Airbnb, la plate-forme de données du site de location de logements de particuliers. Les revenus médians des utilisateurs affichés par ville ne permettent pas de comprendre, à l'échelle d'un quartier, l'impact des réservations sur l'offre de logement. «C'est tout sauf de l'open data; on ne peut pas réaliser nos propres analyses», estime Jérémie Valentin, à Montpellier, tandis qu'à Bordeaux, le conseiller municipal Matthieu Rouveyre a entrepris de géolocaliser tous les logements loués sur Airbnb, au nom du «droit à la ville».
Pour Simon Chignard, conseiller à Etalab, la mission du gouvernement relative au partage de données publiques, «les stratégies des plates-formes ne doivent rien au hasard. Elles se mettent en ordre de bataille en vue des discussions à venir, notamment sur la régulation».
Enjeux éthiques
Entre les collectivités, auxquelles la loi impose l'open data, et les acteurs privés, pour qui la donnée représente un trésor économique, l'échange reste donc largement inéquitable. Certains veulent aller plus loin, en créant un statut de «données d'intérêt territorial», comme le préconise l'ex-député Luc Belot dans son rapport sur la smart city remis en avril2017.
De son côté, la Commission nationale de l'informatique et des libertés (CNIL) analyse les conditions d'un «open data du secteur privé» dans un cahier publié par son laboratoire d'innovation en novembre2017. Quant à la ministre des transports, Elisabeth Borne, elle a évoqué, le 13décembre 2017, à l'issue des Assises de la mobilité, la «mise à disposition des données» de l'ensemble des opérateurs, «non seulement publics mais aussi privés, à l'instar de l'autopartage, des VTC ou encore des vélos en libre-service».
L'année 2018 sera-t-elle celle de la régulation de la data urbaine? Un premier pas s'apprête à être franchi le 25mai en France, avec l'entrée en vigueur du nouveau règlement européen général pour la protection des données (RGPD), qui prévoit des devoirs plus stricts, assortis de sanctions, pour les acteurs qui collectent de la donnée personnelle, et des droits plus importants pour les citoyens.
Conditions d'utilisation illisibles, défauts de consentement, manque de transparence... Le citoyen reste le grand oublié de la smart city, souvent considéré comme un smartphone ambulant et insuffisamment consulté. Or la masse croissante des informations collectées et la porosité entre les différents usages renouvellent les possibilités de surveillance. «Un panneau indique à l'entrée des villes la présence de caméras de surveillance mais rien ne permet aujourd'hui de savoir que vos données y sont captées», regrette Jacques Priol.
Temps démocratique
Le vaste chantier des villes intelligentes est d'abord un projet politique. En témoigne l'annonce, à Marseille, de la création d'un nouveau centre de supervision consacré à la tranquillité publique, avec comme objectif de croiser les données de la ville avec celles achetées à des acteurs privés, comme les opérateurs de téléphonie mobile.
«La vraie question n'est plus comment on construit la ville connectée, mais pour en faire quoi», estime le sociologue Bruno Marzloff, du cabinet Chronos. «Il ne faudrait pas que la vitesse des algorithmes remplace le temps démocratique, où la participation du citoyen est indispensable», renchérit Jacques Priol.
Encore timides, des initiatives commencent à voir le jour pour associer plus étroitement les habitants à l'utilisation de leurs données. A Lyon, la métropole teste depuis 2017 le dispositif «Mes infos», initié par la FING (Fondation Internet nouvelle génération) pour redonner aux citoyens le contrôle de leurs données personnelles. Le projet associe à la fois des particuliers, une collectivité locale et des entreprises, dont la compagnie d'assurances MAIF et l'opérateur de télécoms Orange.
Ces partenaires imaginent de nouveaux services selon des règles définies préalablement ensemble. Un dispositif qui s'inscrit dans la volonté de «construire un environnement de confiance, et qui passe par l'éducation à la donnée», résume Karine Dognin-Sauze. Chaque individu a accès aux informations collectées à son sujet et peut décider pour quels services il est prêt à en autoriser l'usage. Une façon de replacer le citoyen au centre du débat.
DATE-CHARGEMENT: 5 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Monde
Tous droits réservés
67 of 500 DOCUMENTS
Le Monde.fr
Lundi 5 Février 2018
Nos «données personnelles» nous appartiennent: monétisons-les!
LONGUEUR: 1120 mots
Tribune. Par quel étrange renoncement sommes-nous devenus de la chair à algorithmes? Tous les jours, nous abandonnons une partie de nous-mêmes à des plates-formes numériques, appâtés par l'illusion de la gratuité. Nos données personnelles les plus intimes, concernant nos goûts, nos déplacements ou nos amours, sont passées à la moulinette, collectées, agrégées, souvent revendues, et ultimement utilisées pour orienter et contrôler nos comportements.
En cliquant sur des conditions d'utilisation léonines, que nous n'avons pas le temps ni la capacité de lire, encore moins de comprendre ou de négocier, nous courons vers notre servitude volontaire. Les géants du Web bâtissent leur fortune sur les dépouilles de notre identité.
Parce qu'il est urgent de rétablir nos valeurs les plus fondamentales, nous plaidons pour instaurer une patrimonialité des données personnelles. En dépit des idées reçues, le droit de propriété a toujours été une conquête sociale permettant de rééquilibrer les rapports de pouvoir au profit de l'individu et de ses libertés.
Du cadastre aux brevets, la propriété garantit, selon l'adage romain, l'usus, l'abusus et le fructus, nous rendant pleinement maîtres de nous-mêmes et de nos actions, protégés de l'arbitraire des puissants. Voilà pourquoi Proudhon pouvait écrire dans la Théorie de la propriété, en revenant sur ses propos de jeunesse, que «la propriété est la plus grande force révolutionnaire qui existe». Après la terre et les idées, le temps est venu d'étendre cette force révolutionnaire à nos data.
Concevoir des contrats intelligents et adaptés
Cette simple adjonction juridique, qui n'existe aujourd'hui ni en Europe ni aux Etats-Unis, suffirait à bouleverser l'écosystème du numérique. Chacun pourrait choisir en toute autonomie l'usage qu'il souhaite faire de ses données, selon leur nature et leur finalité. On pourrait ainsi accéder à certains services sans partager ses propres données, mais en payant le prix de cette confidentialité et donc en devenant véritablement client. A l'inverse, dans la mesure où l'on accepte de céder ses données, il faudra que les plates-formes nous rémunèrent, réintégrant ainsi le producteur primaire de données dans la chaîne de valeur.
Des flux continus de transactions, plus ou moins importants en fonction des catégories de data, en débit comme en crédit selon nos préférences contractuelles, viendraient alimenter nos comptes personnels de données, avec possiblement une blockchain [technique qui consiste à sécuriser une transaction en la faisant valider par une multitude d'ordinateurs, de manière chiffrée] pour garantir la validité des transactions. On peut imaginer que de puissants intermédiaires se constituent, comme les sociétés de gestion collective pour les droits d'auteur, afin de négocier conditions et tarifs au nom de millions de citoyens numériques, et de concevoir des contrats intelligents adaptés à chacun d'entre eux.
Nos données sont de facto devenues objets de commerce
Il ne s'agit pas de marchandiser ses données, selon le terme convenu pour inhiber tout débat, mais de rendre aux citoyens une valeur aujourd'hui capturée par les Gafam - Google, Apple, Facebook, Amazon et Microsoft - et leurs milliers de disciples. En quoi est-il contraire à la dignité humaine de doter les producteurs de data d'un capital qui leur revient, et qui leur permettra d'effectuer leurs choix de manière d'autant plus indépendante?
Dénoncer la monétisation, c'est nier une réalité économique, puisque nos données sont de facto devenues objets de commerce (au point de représenter bientôt 8% du PIB européen!). Mais c'est aussi, politiquement, se faire le complice objectif des oligopoles, comme l'Eglise condamnait le prêt à intérêt pour empêcher la naissance d'une bourgeoisie marchande, menaçant son pouvoir.
Monétisation sauvage des données
D'autant que la logique de la patrimonialité n'entre nullement en contradiction avec celle des droits fondamentaux, portée au niveau européen par le règlement général sur la protection des données (RGPD). Etablir des droits inaliénables permet d'autant mieux de concevoir un marché qui les respecte, comme c'est classiquement le cas dans nos démocraties. De plus, certaines conquêtes du RGPD, telles que l'exigence de portabilité, constituent des étapes indispensables vers un droit de propriété.
Il est urgent de reprendre la maîtrise de nos data et donc de nous-mêmes
Qu'on le veuille ou non, cette discussion a commencé. Des start-up se créent chaque semaine pour monétiser nos données de manière sauvage. Jaron Lanier, l'un des geeks les plus charismatiques de la Silicon Valley, porte le sujet depuis plusieurs années aux Etats-Unis, au nom même des valeurs libertaires qui faisaient la vigueur de l'Internet des années 1980, décentralisé et idéaliste. Son dernier papier, cosigné entre autres avec des universitaires de Stanford, a relancé le débat outre-Atlantique.
En France, le député Bruno Bonnell (LRM) travaille sur une proposition de loi. L'Europe s'honorerait de prendre les devants et d'imposer sa soft law [règles de droit non obligatoires] face à une Amérique à genoux devant les intérêts du big business et à une Chine peu soucieuse de l'individu.
Alors qu'on nous annonce, à l'image de l'historien Yuval Noah Harari, un «dataisme» dissolvant l'humain dans le réseau et rendant caduc le libre arbitre, il est urgent de reprendre la maîtrise de nos data et donc de nous-mêmes. Le droit de propriété est l'un des outils essentiels de cet humanisme 2.0.
Liste complète des signataires: Rafaël Biosse-Duplan, associé gérant de Finisterre Capital; Bruno Bonnell, député LRM; Manuel Carcassonne, directeur général des Editions Stock; Alexandre Jardin, écrivain et cinéaste; Aurélie Jean, computational scientist; Gaspard Koenig, philosophe, maître de conférences à Sciences Po Paris et président du think tank Generation Libre; Willy Lafran, entrepreneur, fondateur de Datarmine; Sébastien Lalevée, gérant associé de Financière Arbevel; Isabelle Landreau, avocate; Jaron Lanier, informaticien, créateur de start-up; Céline Lazorthes, entrepreneure, fondatrice et PDG du groupe Leetchi; Guillaume Liégey, cofondateur de Liegey Muller Pons; Laurence Parisot, dirigeante d'entreprise, présidente de Gravida, ancienne présidente du Medef; Gérard Peliks, ingénieur en cybersécurité, président de l'association CyberEdu; Virginie Pez, économiste, maître de conférence à l'université Panthéon-Assas (Paris II); Rubin Sfadj, avocat en droit du numérique et de la finance; Philippe Silberzahn, économiste; Pierre Valade, entrepreneur et cofondateur de l'application Sunrise; Natacha Valla, économiste, membre du Conseil d'analyse économique; Guy Vallancien, chirurgien; Glen Weyl, économiste.
DATE-CHARGEMENT: 5 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Monde
Tous droits réservés
68 of 500 DOCUMENTS
Le Berry Républicain
Lundi 5 Février 2018
Cher Edition
L'Assemblée nationale se penche à partir de demain sur la protection des données personnelles
RUBRIQUE: IG OUVERTURE
LONGUEUR: 522 mots
ENCART: La protection à l'ère numérique
«L e développement de l'ère numérique oblige à repenser le cadre applicable aux données personnelles », explique la ministre de la Justice, Nicole Belloubet, qui défendra le texte dans l'hémicycle.
Cette révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux.
Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE.
Ainsi, « l'Europe disposera d'un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles », selon Mounir Mahjoubi, secrétaire d'État au Numérique.
« Responsabilisation »
Facebook, souvent critiqué pour l'usage fait des données de ses utilisateurs, a ainsi indiqué lundi avoir mis en place une importante équipe pour se préparer à cette loi. Le texte remplace le système de contrôle a priori avec des déclarations et des autorisations préalables par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente en France, la Cnil en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
« Il s'agit d'alléger les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes ».
Les députés ont également introduit la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral.
S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le traitement des antécédents judiciaires.
Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.
DATE-CHARGEMENT: 5 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: BERRY
Copyright 2018 Le Berry Républicain et leberry.fr
Tous droits réservés
69 of 500 DOCUMENTS
Le Journal du Centre
Lundi 5 Février 2018
Nièvre Edition
L'Assemblée nationale se penche à partir de demain sur la protection des données personnelles
RUBRIQUE: IG OUVERTURE
LONGUEUR: 522 mots
ENCART: La protection à l'ère numérique
«L e développement de l'ère numérique oblige à repenser le cadre applicable aux données personnelles », explique la ministre de la Justice, Nicole Belloubet, qui défendra le texte dans l'hémicycle.
Cette révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux.
Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE.
Ainsi, « l'Europe disposera d'un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles », selon Mounir Mahjoubi, secrétaire d'État au Numérique.
« Responsabilisation »
Facebook, souvent critiqué pour l'usage fait des données de ses utilisateurs, a ainsi indiqué lundi avoir mis en place une importante équipe pour se préparer à cette loi. Le texte remplace le système de contrôle a priori avec des déclarations et des autorisations préalables par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente en France, la Cnil en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
« Il s'agit d'alléger les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes ».
Les députés ont également introduit la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral.
S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le traitement des antécédents judiciaires.
Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.
DATE-CHARGEMENT: 5 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: JDC
Copyright 2018 Le Journal du Centre et lejdc.fr
Tous droits réservés
70 of 500 DOCUMENTS
Le Populaire du Centre
Lundi 5 Février 2018
Limoges Edition; Creuse Edition; Haute Vienne Edition
L'Assemblée nationale se penche à partir de demain sur la protection des données personnelles
RUBRIQUE: IG OUVERTURE
LONGUEUR: 522 mots
ENCART: La protection à l'ère numérique
«L e développement de l'ère numérique oblige à repenser le cadre applicable aux données personnelles », explique la ministre de la Justice, Nicole Belloubet, qui défendra le texte dans l'hémicycle.
Cette révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux.
Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE.
Ainsi, « l'Europe disposera d'un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles », selon Mounir Mahjoubi, secrétaire d'État au Numérique.
« Responsabilisation »
Facebook, souvent critiqué pour l'usage fait des données de ses utilisateurs, a ainsi indiqué lundi avoir mis en place une importante équipe pour se préparer à cette loi. Le texte remplace le système de contrôle a priori avec des déclarations et des autorisations préalables par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente en France, la Cnil en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
« Il s'agit d'alléger les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes ».
Les députés ont également introduit la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral.
S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le traitement des antécédents judiciaires.
Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.
DATE-CHARGEMENT: 5 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: POP-LIMOGES; POP23; POP87
Copyright 2018 Le Populaire du Centre et lepopulaire.fr
Tous droits réservés
71 of 500 DOCUMENTS
L'Yonne Républicaine
Lundi 5 Février 2018
Nord Edition; Sud Edition
L'Assemblée nationale se penche à partir de demain sur la protection des données personnelles
RUBRIQUE: IG OUVERTURE
LONGUEUR: 522 mots
ENCART: La protection à l'ère numérique
«L e développement de l'ère numérique oblige à repenser le cadre applicable aux données personnelles », explique la ministre de la Justice, Nicole Belloubet, qui défendra le texte dans l'hémicycle.
Cette révision de la loi informatique et libertés de 1978 est indispensable avant l'entrée en vigueur le 25 mai du « paquet européen de protection des données », qui comprend le Règlement général sur la protection des données personnelles (RGPD) et une directive applicable aux fichiers pénaux.
Ce nouveau règlement repose sur le droit fondamental que constitue, pour tout Européen, la protection de sa vie privée et de ses données personnelles et sera applicable à l'ensemble des entreprises et de leurs sous-traitants quelle que soit leur implantation, y compris hors UE.
Ainsi, « l'Europe disposera d'un outil crédible et cohérent pour garantir à ses citoyens et à ses consommateurs la sécurité et la protection de leurs données personnelles », selon Mounir Mahjoubi, secrétaire d'État au Numérique.
« Responsabilisation »
Facebook, souvent critiqué pour l'usage fait des données de ses utilisateurs, a ainsi indiqué lundi avoir mis en place une importante équipe pour se préparer à cette loi. Le texte remplace le système de contrôle a priori avec des déclarations et des autorisations préalables par un contrôle a posteriori. Les sociétés détentrices de données seront responsables des informations privées collectées, devront en envisager la protection et seront obligées de prévenir rapidement l'autorité compétente en France, la Cnil en cas de perte, de vol ou de divulgation, sous peine d'amendes qui pourront aller jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros.
« Il s'agit d'alléger les formalités préalables au profit d'une démarche de responsabilisation des acteurs et d'un renforcement des droits des individus. En contrepartie, les pouvoirs de la Cnil sont renforcés et les sanctions encourues considérablement augmentées », a résumé Nicole Belloubet. Certaines formalités préalables seront maintenues pour les traitements des données les plus sensibles, comme « les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes ».
Les députés ont également introduit la possibilité d'une action de groupe pour la réparation de préjudices subis, d'ordre matériel ou moral.
S'agissant des traitements de données personnelles en matière pénale, le projet de loi crée un droit à l'information et prévoit l'exercice direct de certains droits, tels que les droits d'accès, de rectification et d'effacement des données. Sont concernés le fichier national des empreintes génétiques, des interdits de stade, ou encore le traitement des antécédents judiciaires.
Le droit européen ne s'appliquera cependant pas à une dizaine de fichiers de « souveraineté », comme le fichier des signalements pour la prévention de la radicalisation à caractère terroriste (FSPRT), généralement gérés par les services de renseignement. Ceux-ci resteront soumis à un droit d'accès indirect, via le Conseil d'État, une procédure en vigueur depuis la loi sur le renseignement de 2015.
DATE-CHARGEMENT: 5 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: NORD; SUD
Copyright 2018 L'Yonne Républicaine et lyonne.fr
Tous droits réservés
72 of 500 DOCUMENTS
Le Monde.fr
Dimanche 4 Février 2018
A Marseille, un algorithme pour «anticiper la sécurité»
AUTEUR: Claire Legros
LONGUEUR: 543 mots
Le premier pilier de la smart city marseillaise sera «un big data de la tranquillité publique», selon Caroline Pozmentier, adjointe au maire déléguée à la sécurité publique. Alors que de nombreuses collectivités en France misent sur les plates-formes de données pour optimiser les déplacements et l'empreinte énergétique urbaine, la ville de Marseille a annoncé en décembre2017 la création d'un outil d'analyse pour «garantir de manière plus efficace la sécurité et la tranquillité publique des citoyens».
Ce centre de supervision, inédit dans une grande ville française, devrait recueillir l'ensemble des données publiques disponibles: mains courantes de la police municipale, captations des caméras de surveillance, informations relevées par les marins-pompiers ou les agents des espaces verts... Développé par Engie Ineo, l'outil vise à croiser ces informations avec les données des opérateurs de téléphonie mobile, de transport public et de l'AP-HM (Assistance publique-Hôpitaux de Marseille) pour «aider la police municipale à mieux anticiper la sécurité» lors de grands événements comme des matchs de football ou des manifestations de rue, en croisant les données présentes et passées. «Nous travaillons avec la CNIL [Commission nationale de l'informatique et des libertés] dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection», assure la mairie.
«Ces systèmes banalisent la société de surveillance»
L'utilisation d'algorithmes s'est généralisée ces dernières années dans la police, notamment dans le cadre des enquêtes pour cibler une personne en croisant les données relatives à un crime. Mais la mise en place d'un tel outil par une municipalité pose de nombreuses questions. Pour Félix Tréguer, membre de La Quadrature du Net, association de défense des droits et libertés des citoyens sur Internet, «même si au début on nous vend des dispositifs encadrés, on constate une accoutumance à ces systèmes, qui banalisent la société de surveillance.C'est la logique même de ces outils qui doit être interrogée. L'idée selon laquelle la technologie va résoudre des problèmes sociaux et qu'en investissant des milliers d'euros on arrivera à garantir la sécurité est un leurre».
De son côté, le sociologue Bilel Benbouzid met en avant les limites d'une politique conduite par la donnée. «En confiant la distribution des ressources en matière de sécurité à un algorithme, on s'en remet à une machine. Mais au nom de quels critères? Il existe toujours des critères de pondération: pour le logiciel américain PredPol (qui détermine les zones à risque de criminalité en analysant la localisation des crimes passés), c'est le coût du crime. D'autres programmes mettent en avant la gravité des faits. Dans tous les cas, ces priorités déterminent des choix politiques, qui doivent être expliqués.»
Face à la prolifération des données, le laboratoire de prospective de la CNIL préconise la création de «comités consultatifs sur la vie privée» dans les collectivités. De son côté, le RGPD (Règlement européen de protection des données), qui entrera en vigueur le 25mai, imposera aux collectivités de réaliser une analyse d'impact pour tout service engendrant un risque élevé pour les droits et les libertés.
DATE-CHARGEMENT: 4 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Monde
Tous droits réservés
73 of 500 DOCUMENTS
Le Cercle
dimanche 4 février 2018
Comment la cybersécurité est-elle passée des équipes spécialisées au Conseil d'Administration ?
AUTEUR: Isabelle Eilam-Tedgui
RUBRIQUE: ARTICLE; De nouveaux moyens de régulation
LONGUEUR: 829 mots
ENCART: Les cyberattaques, toujours plus fréquentes et dommageables, ont fait de la cybersécurité une préoccupation qui dépasse les équipes opérationnelles. En quelques années, elle est devenue un enjeu crucial pour le monde de l'entreprise, atteignant les comités exécutifs et conseils d'administration.
Les sphères exécutives en entreprise sont désormais sensibles aux problématiques de cybersécurité, pour des raisons financières principalement. Non seulement les dommages liés aux cyberattaques sont de plus en plus coûteux, mais à cela s'ajoutent des conséquences sur l'avancement des transactions financières telles que les fusions ou acquisitions.
Deux incidents récents illustrent cette nouvelle perception de la cybersécurité en entreprise : en août 2016, l'entreprise MedSec a utilisé une vulnérabilité présente dans un appareil médical pour vendre à découvert le stock de son fabricant, St Jude Medical. À la fin du mois, MedSec a dévoilé un rapport sur les risques d'attaque de cet appareil, infligeant une baisse de 5 % en bourse à St Jude. Cette perte combinée au risque mortel que comportaient ces appareils dangereux a failli compromettre le rachat de St Jude Medical par les Laboratoires Abbott.
De la même façon, lorsque les données de 500 millions d'utilisateurs de Yahoo ont été volées, à cause d'une brèche existante depuis 2014, l'accord de vente avec Verizon Communications a été remis en cause. Verizon avait les moyens et les arguments pour annuler complètement la vente, toutefois Verizon a préféré utiliser cet argument pour renégocier les termes de la vente en sa faveur.
Les enjeux de la cybersécurité peuvent venir perturber le cycle de vie d'une entreprise, ce qui attire l'attention des sphères dirigeantes.
De nouveaux moyens de régulation
Chaque acteur travaillant de près ou de loin avec des entreprises européennes doit être attentif au RGPD, notamment pour ce qu'elle implique en termes d'impact financier : les amendes pour non-conformité pourront aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires. Des sommes conséquentes qui impacteront indéniablement l'exécutif.
En effet, les membres du conseil d'administration et les fonctions exécutives de l'entreprise vont être amenées à devoir certifier les contrôles de sécurité (sécurité des données personnelles, droit à l'oubli, etc.) pour être en conformité. Cela pourrait potentiellement exposer ces individus à une responsabilité pénale si des fraudes étaient avérées.
Il est donc nécessaire de se pencher sur la mise en conformité, sur 5 articles notamment :
· L'article 25 dédié à la protection des données dès la conception, afin de garantir la visibilité et l'assurance requise sur les systèmes par lesquels les données personnelles sont traitées ; et s'aligner aux bonnes pratiques et critères de personnalisation recommandés par l'industrie.
· L'article 30 dédié au registre des activités de traitement pour être à même d'identifier les non-conformités lors d'audits demandés par le RGPD et lorsque des changements interviennent.
· L'article 32 sur la sécurité du traitement, de façon à se préparer à une localisation rapide des expositions, pouvant être provoquées par les vulnérabilités des serveurs et des postes de travail et les faiblesses des configurations des pare-feu, susceptibles de déboucher sur des pertes de données et une exposition aux menaces.
· L'article 33 exigeant la notification à l'autorité de contrôle d'une violation de données à caractère personnel pour mettre en évidence les informations nécessaires à une analyse technique post-violation ("troubleshooting").
· L'article 35 dédié à l'analyse d'impact relative à la protection des données pour lequel il faut pouvoir analyser et contrôler l'efficacité des mesures de sécurité mises en oeuvre en vue de protéger les données personnelles.
La mise en conformité avec le RGPD de l'UE est plus qu'un défi informatique. Il s'agit d'une question organisationnelle majeure vers laquelle les directions générales doivent s'engager activement.
Débloquer les budgets accordés à la sécurité informatique
En 2016, la Bank of America a décidé de tout faire pour contrer les cyberattaques en donnant un budget illimité à la Business Unit en charge de la cybersécurité. En l'occurrence, les sphères dirigeantes ont pris conscience de l'ampleur que pouvaient prendre les cyberattaques et des conséquences irréversibles qu'elles pouvaient engendrer. En effet, il en va avant tout de la réputation de l'entreprise, mais aussi de la confiance des clients. En déverrouillant les contraintes budgétaires des départements SI, les sphères dirigeantes montrent qu'elles ont compris le message et veulent se protéger aussi bien que possible d'éventuelles pertes financières dues aux ransomwares ou autres attaques dommageables.
Les cyberattaquants s'adaptent à tous les environnements. Ils trouveront toujours de nouveaux moyens d'exploiter les vulnérabilités d'une entreprise, d'affiner la sophistication de leurs attaques et sauteront sur la possibilité de gains financiers, de notoriété ou de créer le chaos.
La capacité des entreprises à se défendre contre des dommages sécuritaires et financiers et à maintenir leur image est donc directement liée au développement des équipes de cybersécurité bien armées dans cette cyber-guerre.
DATE-CHARGEMENT: 6 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
74 of 500 DOCUMENTS
La Tribune
Vendredi 2 Février 2018
Numérique et éthique en entreprise : une charte RH pour éviter les dérives
AUTEUR: Audrey Fisne
RUBRIQUE: ÉCONOMIE; Pg. 27
LONGUEUR: 1266 mots
ENCART: Dès mai 2018, le Règlement européen sur la protection des données renforcera les droits des personnes concernant leurs données personnelles. Dans le monde de l entreprise, les Ressources humaines devront prendre leurs dispositions afin de veiller au respect de la nouvelle réglementation vis-à-vis de leurs salariés. Pour le Lab RH et le syndicat des encadrants CFE-CGC, si le RGPD est déjà complet, des problématiques d ordre éthique ont été oubliées. Ils publient une charte pour y pallier.
« Les usages du numérique évoluent plus vite que l'action du législateur. Si on ne traite pas de l'éthique aujourd'hui, il y aura des dérives dans le monde du travail », prévient Jérémy Lamri, co-fondateur du Lab RH. L'association, qui regroupe des startups du secteur de l'emploi et des RH, a présenté ce mercredi 31 janvier, la première version d'une charte "Éthique et Numérique RH". L'initiative, qui a été lancée par la CFE-CGC, syndicat majoritaire chez les cadres, arrive dans un contexte où la question des données personnelles est au c ur de l'actualité. En effet, dès le 25 mai 2018, le Règlement européen sur la protection des données (RGPD) entrera en vigueur dans l'ensemble de l'Europe. Le texte « quasi-constitutionnel » pour les experts, entend renforcer les droits des personnes quant à leurs données personnelles. Dans le monde du travail, l'entreprise récupère la responsabilité du traitement et de la sécurité des données tandis que les contrôles et sanctions des autorités devraient être renforcés. A l'heure où l'intelligence artificielle se déploie dans tous les domaines et que les algorithmes sont largement utilisés par les entreprises, des questions éthiques semblent se poser.
« Il est naïf de penser que les grands textes tels que le RGPD vont traiter l'ensemble des problématiques liées au numérique », explique le 'digital champion' Gilles Babinet, dans une vidéo diffusée à l'occasion de la publication de la charte. « Il faut mettre, au-dessus de la loi, les préoccupations éthiques. » Plus précisément, pour le monde de l'entreprise, « le cadre RH est l'un des cadres les plus appropriés aux enjeux éthiques », ajoute-t-il avant de conclure : « En somme, un pied dans la modernité et des garde-fous pour éviter de faire n'importe quoi. » Le numérique, moyen d'accroître la compétitivité ou d'écraser les travailleurs ? Un rôle de garde-fou, c'est exactement ce que représente cette charte Ethique et Numérique RH pour ses auteurs. « La question est : dans quelle société souhaite-t-on vivre ? Est-ce que c'est celle qui est dépeinte dans les films de science-fiction actuels, où les gens sont tous identiques et vivent par groupe de ressemblance par gain de productivité ? », interroge François Hommeril, président de la CFE-CGC. Question rhétorique bien sûr. Après une journée de débats en 2017 organisée par le syndicat sur le thème de l'intelligence artificielle, 92% des militants présents ont trouvé nécessaire d'effectuer une enquête sur l'impact de l'IA sur les RH. « Aujourd'hui, beaucoup d'entreprises réalisent que les besoins de leurs salariés se transforment profondément et que le numérique bouleverse leur organisation en profondeur », précise Jérémy Lamri, du Lab RH.
« Le numérique peut à la fois être utilisé de manière émancipatoire, permettre de meilleurs échanges au sein des organisations (...) bref, accroître la compétitivité dans des conditions positives pour les salariés. Mais le numérique et l'IA, utilisés à mauvais escient, peuvent [aussi] au contraire écraser les travailleurs, les assigner à un rôle professionnel qui ne correspond pas à leur souhait et les mettre en difficulté. » Comme exemples, les instigateurs de la charte citent notamment le deep learning qui peut faire preuve de discriminations lors de l'utilisation d'algorithmes pour des recrutements ou encore dans le volet « gestion de carrière », l'importance trop importante qu'occupent les données professionnelles du « passé » pour déterminer des missions futures d'un candidat. « La machine permet de nombreuses pratiques aujourd'hui mais doit-on pour autant toutes les utiliser ? », questionne un expert lors de la présentation de la charte.
« L'idée est de repartir de la page blanche, évacuer les stéréotypes notamment, reconquérir les RH grâce au numérique. » Pour reprendre une formule désormais connue et réadaptée pour l'occasion « Make HR [pour "human ressources", Ndlr] great again », comme on peut le lire en préambule de la charte.
« La fonction RH a été mécanisée quelque part, a perdu de son influence, de son autonomie », ajoute François Hommeril de la CFE-CGC. « Ça ne peut pas durer. On va revenir à l'Humain. La création de valeur par le capital humain de l'entreprise est fondamentale. » Des conseils dans toutes les étapes du cycle de vie des données Plus précisément la charte, écrite par la CFE-CGC et le Lab RH avec la participation d'experts universitaires, auteurs, scientifiques et un DRH, propose un cadre de « bonnes pratiques » des solutions numériques dans le domaine des RH.
[Capture d'écran d'un extrait de la charte "Éthique et Numérique RH"] Les recommandations de la charte interviennent pour les différentes étapes du cycle de vie des données. Largement, en ce qui concerne l'acquisition des données. On peut y lire notamment.
« Il est impératif que les données recueillies concernant un individu {le} soient en amont de l'usage fait de ces données sur la base du volontariat et de façon éclairée (...) Le refus par un individu de recueillir ses données personnelles, ne peut constituer pour l'individu en question un critère de discrimination », précise le document. Concernant le traitement algorithmique, la charte définit des bonnes pratiques via les principes de loyauté, de neutralité, de simplicité et d'explicabilité, de maitrise et de précaution du traitement algorithmique. Et ce, même si le traitement est sous-traité. De bonnes dispositions pour la restitution, la structuration et le stockage des données sont également décrites. En outre, la charte conseille de mettre en place des actions de formation auprès de l'ensemble du personnel concernant le cycle de vie des données, les enjeux et les conséquences.
Charte Éthique et Numérique RH publié par latribune.fr
Pas une contrainte pour les entreprises, plutôt un argument commercial Mais la publication du document ne marque que le début d'un processus. En effet, le Lab RH et la CFE-CGC appellent désormais quiconque le souhaiterait (des syndicats aux associations de DRH) à participer à la version finale du texte. Des ateliers, ouverts à tous, seront organisés entre mi-février et mi-avril.
« Nous travaillons également à l'élaboration d'un label qui concernera plutôt les algorithmes éthiques et moins la charte en elle-même », précise Jérémy Lamri, du Lab RH. Il prévient : le texte n'a pas pour ambition de devenir un document contraignant pour les entreprises.
« Nous voudrions concerner tous les acteurs et intégrer les bonnes pratiques dans le quotidien des entreprises. Interpeller au-delà même des DRH, que ce soit les Correspondants Informatique et Libertés (CIL) (*), [fonction clé dans la mise en application du RGPD, Ndlr] ou d'autres interlocuteurs dans les entreprises. » Le respect de cette charte peut aussi représenter un argument commercial pour les entreprises, précise le co-fondateur du Lab RH. Et pour faciliter la diffusion et la démocratisation de la charte, la Cnil a d'ores et déjà prévu de participer à la version finale et de la transmettre au plus grand nombre d'entreprises via différents supports. La charte enrichie devrait être présentée à la fin du premier semestre 2018. Soit, en même temps que l'entrée en vigueur du RGPD. ____ (*) Définition de la CNIL: « Le délégué est chargé de mettre en uvre la conformité au règlement européen sur la protection des données au sein de l'organisme qui l'a désigné. Sa désignation est obligatoire dans certains cas. »
A l'heure où l'intelligence artificielle se déploie dans tous les domaines et que les algorithmes sont largement utilisés par les entreprises, des questions éthiques semblent se poser.
DATE-CHARGEMENT: 1 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
75 of 500 DOCUMENTS
La Tribune Hebdomadaire
2 février 2018
LA FINTECH FRANÇAISE NE VEUT PLUS ÊTRE " une forêt de bonzaïs "
AUTEUR: DELPHINE CUNY
RUBRIQUE: FINTECH; Pg. 24,25
LONGUEUR: 1546 mots
Le secrétaire d'État au Numérique, Mounir Mahjoubi, a rencontré des dirigeants de startups de la finance comme Younited Credit, Lydia, Alan et Famoco. Ils ont exprimé leurs griefs face à la réglementation, trop contraignante, et aux difficultés de financer auprès de fonds français leur montée en puissance.
Comment faire grandir les startups de la finance en France ? Le secrétaire d'État au Numérique, Mounir Mahjoubi, est allé à la rencontre des fondateurs et dirigeants de fintech ce mardi, dans le cadre de sa tournée dans toute la France auprès des différentes composantes de la French Tech. Devant un café et des croissants, au dernier étage des locaux parisiens de Bpifrance, les plus ou moins jeunes loups qui veulent faire " sauter la banque " (ou l'assurance, pour l'insurtech) n'ont pas joué les timides quand le ministre les a interrogés sur leurs " irritants ", selon le jargon marketing du milieu, les obstacles à leur développement et leurs frustrations au quotidien.
Deux points ressortent nettement : la réglementation, jugée trop contraignante et vieillotte, et les difficultés à mener des tours de table importants avec des fonds de capital-risque français. Des propositions seront présentées à l'issue de ce " Tour des startups " sous trois mois.
" La priorité que nous nous sommes donnée pour la fintech est de consacrer la moitié du temps à identifier les entreprises qui ont besoin de grandir, les scale-up [startups en phase d'hypercroissance et d'expansion internationale, ndlr], et l'autre moitié du temps à l'écosystème et à son animation territoriale. Nous voulons aussi y promouvoir la mixité et la diversité, qui sont de vrais enjeux ", a insisté le secrétaire d'État, devant un parterre à 90 % masculin.
À QUAND LA BIOMÉTRIE ?
La réglementation, le fardeau dont se plaignent les acteurs traditionnels de la banque et de la finance, apparaît comme la " prise de tête " numéro un des fintech aussi, pour leur mise en conformité. Manque de dialogue constructif, demandes surdimensionnées, réponses trop lentes, voire vision archaïque : les propos étaient plutôt acerbes.
" Si la France veut être une fintech nation
et une insurtech nation, il faut que les régulateurs arrêtent de donner de petits agréments comme celui d'établissement de paiement, mais de vrais agréments, comme en Allemagne : nous avons obtenu le premier agrément d'établissement de crédit en quinze ans et Alan, le premier dans l'assurance depuis trente ans ! " a argumenté Geoffroy Guigou, le cofondateur de la plateforme de crédit conso aux particuliers Younited Credit. " En termes de fonds propres, il y a une règle non écrite, une doctrine connue de
Il faut que les régulateurs donnent de vrais agréments tous qui consiste à avoir un établissement de crédit au capital détenant au moins 10 % ou 20 %. Il faut donner plus d'agréments sans condition de consanguinité. "
Geoffroy Guigou a aussi milité pour que les organismes de place (à l'image de Paris Europlace) s'ouvrent davantage à la relève et ne soient " pas seulement des maisons de retraite pour banquiers ou assureurs, car beaucoup de choses passent par ces organismes ".
Pour ces entreprises misant à 100 % sur le numérique, le maintien de certaines règles semble inadapté : " En France, on ne lutte pas vraiment contre la fraude, on fait juste de la conformité. On refuse l'authentification vidéo, alors que la Bafin [le régulateur financier allemand, ndlr] l'a acceptée. On doit demander une carte d'identité et un justificatif de domicile, partout en Europe, pendant que l'allemand N26 fait de la vidéo, y compris en France. Je préférerais faire de la biométrie. On est au Moyen-Âge du KYC [know your customer, connaissance du client]. Ce sont des freins à la compétitivité ", a regretté Cyril Chiche, le président de l'appli de paiement Lydia.
Arnaud Burgot, le directeur général de la plateforme de financement participatif Ulule, a évoqué un tracas connexe : " Le problème de la fraude documentaire : on demande une carte d'identité, c'est complètement daté ! C'est très facile de photoshoper une carte d'identité et on peut s'en procurer facilement sur le Dark Net. Il faut pouvoir lutter vraiment contre le vol d'identité ", a-t-il plaidé.
BAC À SABLE RÉGLEMENTAIRE ET OPPORTUNITÉS DU RGPD
Le dirigeant d'Ulule s'est plaint du poids de la lutte contre la fraude pour une jeune pousse comme la sienne : " Les cartes prépayées sont dans le viseur de Tracfin : les seuils liés à la monnaie électronique ont été abaissés sans prendre en compte les autres acteurs qui utilisent cet outil, ce qui nous oblige à devenir agent d'établissement de paiement. Il y a un sujet de surtransposition des directives européennes, qui se traduit par plus de temps administratif sans gain réel dans la lutte contre le blanchiment ", a-t-il estimé.
" On avance sur ces sujets. On fera de l'authentification forte partout dans trois ou quatre ans, mais certains me répondront peut-être que, d'ici là, vous risquez d'être morts ! ", a réagi le secrétaire d'État. Il s'est déclaré favorable à un " bac à sable " réglementaire (la " sandbox " à l'anglaise), où les jeunes pousses peuvent expérimenter sans contrainte jusqu'à un certain seuil d'activité. " On contrôle mieux le risque dans un environnement de type "sandbox" ", a fait valoir Mounir Mahjoubi.
Il a également objecté à ceux qui s'en plaignaient que l'entrée en vigueur dans l'UE, en mai prochain, du Règlement général sur la protection des données (RGPD) était une avancée. " Le RGPD, c'est une révolution et des milliards d'euros d'opportunité pour des entreprises européennes qui sauront valoriser les métadonnées et permettre aux utilisateurs de récupérer leur patrimoine de données ", a relevé Mounir Mahjoubi.
DES INVESTISSEURS FRANÇAIS TROP FRILEUX
L'autre sujet de débat portait sur la capacité à monter en puissance des startups de la finance française, qui restent de taille modeste par rapport aux britanniques, comme TransferWise ou Funding Circle, aux suédoises comme Klarna ou iZettle, aux allemandes comme Kreditech, ou néerlandaises comme Adyen. Une seule française apparaît dans les 50 premières du classement mondial fintech 100 de KPMG : le site de prêts aux PME Lendix.
" Il y a un gros problème de financement. Toutes les levées de fonds de plus de 10 millions d'euros doivent passer par un fonds étranger, américain ou autre. Nous avons un beau terreau de "seed" (amorçage), on est très bon en ingénierie financière, LBO, dette mezzanine, mais il n'y a que deux acteurs pour les levées de 10 à 100 millions, Idinvest et Partech " a déploré Cyril Chiche, de Lydia.
Plusieurs acteurs se sont plaints du manque de risques pris par les fonds français, de la lenteur des processus de décision par rapport aux grands fonds de venture capital (VC) anglo-saxons.
" Nous réalisons plus de 10 millions d'euros de chiffre d'affaires, nous avons levé 11 millions l'an dernier et la question est : comment aller plus loin ? Il n'y a pas d'outils pour que ces startups grandissent. Nous sommes une forêt de bonzaïs, alors qu'il faudrait une forêt de chênes ! " a lancé Lionel Baraban, le cofondateur et directeur général de Famoco, spécialiste des technologies de paiement sans contact. " Nous avons besoin d'une consolidation du marché. " Paul-François Fournier, le directeur exécutif Innovation de Bpifrance, a toutefois rappelé que " les fonds français ont doublé de taille en moyenne en quatre ans, passant de 80 à 160 millions d'euros. Mais il y a peutêtre un problème spécifique à la fintech. " La fintech a représenté 16 % des levées de fonds des startups françaises l'an dernier, selon le baromètre d'In Extenso (Deloitte), soit de l'ordre de 416 millions d'euros, la deuxième catégorie loin derrière celles de l'Internet (50 %).
" Nous avons levé plus de 100 millions d'euros en tout auprès d'investisseurs français uniquement : il est donc possible de lever de gros montants en France ", a témoigné Geoffroy Guigou, de Younited Credit, qui a pointé en revanche " un problème d'exit ", de possibilités de sortie, du fait du manque de motivation des grands acteurs de la banque et de l'assurance à investir de gros tickets dans la fintech ou l'insurtech. " Les startups sont le Botox des grands groupes ! " a complété Lionel Baraban.
Enfin, Pierre Noizat, le cofondateur de Paymium, qui se présente comme " votre banque bitcoin ", a exprimé ses doléances au sujet de la fiscalité des cryptomonnaies, " qui peut atteindre un taux de 66 % d'imposition sur les plus-values, ce qui est totalement discriminatoire par rapport à d'autres pays ", et a plaidé pour l'application de la "flat-tax" à 30 %.
Il a proposé la reconnaissance de la signature électronique dans la blockchain (la technologie de chaîne de blocs, sousjacente des cryptomonnaies comme le bitcoin).
" Il y a un travail en cours à l'Assemblée, au Sénat, au Trésor sur la qualification des cybermonnaies. Il n'y a pas de doctrine française aujourd'hui. Essayons de nous montrer intelligents. Une mission vient d'être confiée, et nous aurons ses conclusions dans quelques semaines ", a temporisé le secrétaire d'État. Le directeur général de Paymium a alors relevé que confier cette mission à un ancien de la Banque de France (Jean-Pierre Landau), " c'est comme nommer quelqu'un de Total au ministère de l'Environnement ".
DATE-CHARGEMENT: February 1, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Discussions à bâtons rompus et sans tabou le 23 janvier entre Mounir Mahjoubi, le secrétaire d'État au Numérique, et les nouveaux acteurs de la finance, réunis chez Bpifrance.
DR
" Il n'ya pas d'outils pour que ces startups grandissent. Nous sommes une forêt de bonzaïs, alors qu'il faudrait une forêt de chênes. "
iStock
TYPE-PUBLICATION: Magazine
Copyright 2018 La Tribune
Tous droits réservés
76 of 500 DOCUMENTS
Décideurs Magazine Online
jeudi 1 février 2018 11:19 AM EST
RGPD - de la nécessité d'aborder une démarche spécifique en droit du travail
LONGUEUR: 738 mots
ENCART: Le règlement général sur la protection des données (RGPD ou GDPR en anglais) entre en vigueur en France le 25 mai 2018. Il modifie significativement la réglementation sur le traitement (collecte, enregistrement, transfert, ect) des données personnelles - c'est à dire sur toute information permettant d'identifier directement ou indirectement une personne physique...
Par exemple, un annuaire du personnel permettant d'identifier les salariés (noms, prénoms, photos), leurs fonctions, leurs coordonnées professionnelles constitue, à l'évidence un traitement de données personnelles.
En France, les principaux impacts de cette réglementation sont la suppression du principe de déclaration préalable auprès de la CNIL, remplacé par une obligation pour l'entreprise de démontrer la conformité de ses systèmes de traitement, avec un renforcement des sanctions applicables dans ce contrôle a posteriori, la création d'un délégué à la protection des données personnelles (remplaçant l'ancien CIL) ou encore l'obligation de notifier les violations de données personnelles.
Pour se mettre en conformité, les entreprises doivent aborder l'aspect juridique, avant la mise en oeuvre technique, avec un soin particulier à apporter sur le traitement de données RH, que ce soit au stade du recrutement, de l'exécution du contrat ou de sa rupture.
Trois illustrations pour s'en convaincre.
Premièrement, le règlement européen permet aux Etats membres de prévoir par la loi ou au moyen de convention collective, des règles spécifiques relatives au traitement des données à caractère personnel des employés dans le cadre des relations de travail.
C'est bien la reconnaissance de la spécificité du droit du travail en matière de protection des données personnelles, étant rappelé que les dispositions du Code du travail sur la proportionnalité des moyens de contrôle, la nécessité de consulter les élus et l'information préalable des salariés perdurent (par exemple vidéosurveillance, géolocalisation).
Deuxièmement, l'information individuelle du salarié sur les données collectées est renforcée. S'ajoutent aux informations déjà nécessaires (responsable de traitement, finalité du traitement, catégories de données, destinataires des données, existence de transfert hors UE, etc.) de nouvelles indications : la base juridique du traitement, les coordonnées du délégué à la protection des données, la source des données, la durée de conservation, le droit d'accès et le droit à l'oubli.
Ces informations portent sur les données personnelles collectées auprès de la personne, mais aussi sur celles qui sont collectées par l'employeur auprès de tiers (trésor public, assurance maladie).
L'information délivrée, qui doit être concise, intelligible accessible et transparente, requiert en pratique un nombre considérable de précisions. Cela impose de revoir la rédaction des contrats de travail, de la charte informatique et sans doute de créer d'autres documents internes au sein de l'entreprise (charte des données personnelles, procédés de création de nouveaux traitements, gestion des droits d'accès, etc.).
Ces nouvelles obligations annoncent de nouveaux contentieux, si l'employeur ne délivre pas ou mal ces informations, ou qu'il fait un usage contraire à la finalité du traitement.
La troisième illustration porte sur la question de la durée de conservation des données.
Les données traitées doivent être conservées sous une forme permettant l'identification des personnes, pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
Cette exigence impose donc à l'employeur une réflexion mêlant la protection des intérêts de l'entreprise, avec la finalité du traitement et la condition de proportionnalité. Si une obligation spécifique de conserver des informations pendant une certaine durée (ex : recrutement, accidents du travail ...) est imposée à l'employeur, cette limite pourra naturellement être retenue. A défaut la durée de la prescription semble être une référence acceptable.
Quelle durée de prescription retenir pour chaque type de données ? S'agissant par exemple de la rémunération, la prescription est de trois ans. Mais dans le cadre d'une action fondée sur des faits de discrimination, le salarié pourra remonter 5 ans en arrière, voire 6 ans s'il agit sur le plan pénal.
Ces trois illustrations démontrent l'importance d'adopter une approche rigoureuse en droit du travail au moment de mettre l'entreprise en conformité avec le RGPD. La réglementation étant fondée sur un contrôle a posteriori, de nouveaux contentieux vont apparaître sur le droit d'accès par exemple ou le droit à l'oubli qui viendront immanquablement sanctionner l'entreprise négligente sur la mise en conformité de ses traitements.
Alexandre Duprey avocat senior associate Capstan Avocats
DATE-CHARGEMENT: 1 juin 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Leader's League
tous droits réservés
77 of 500 DOCUMENTS
La Tribune.fr
Jeudi 1 Février 2018 2:00 PM CET
Numérique et éthique en entreprise : une charte RH pour éviter les dérives
AUTEUR: Audrey Fisne
RUBRIQUE: CARRIÈRES
LONGUEUR: 1266 mots
ENCART: Dès mai 2018, le Règlement européen sur la protection des données renforcera les droits des personnes concernant leurs données personnelles. Dans le monde de l entreprise, les Ressources humaines devront prendre leurs dispositions afin de veiller au respect de la nouvelle réglementation vis-à-vis de leurs salariés. Pour le Lab RH et le syndicat des encadrants CFE-CGC, si le RGPD est déjà complet, des problématiques d ordre éthique ont été oubliées. Ils publient une charte pour y pallier.
« Les usages du numérique évoluent plus vite que l'action du législateur. Si on ne traite pas de l'éthique aujourd'hui, il y aura des dérives dans le monde du travail », prévient Jérémy Lamri, co-fondateur du Lab RH. L'association, qui regroupe des startups du secteur de l'emploi et des RH, a présenté ce mercredi 31 janvier, la première version d'une charte "Éthique et Numérique RH". L'initiative, qui a été lancée par la CFE-CGC, syndicat majoritaire chez les cadres, arrive dans un contexte où la question des données personnelles est au c ur de l'actualité. En effet, dès le 25 mai 2018, le Règlement européen sur la protection des données (RGPD) entrera en vigueur dans l'ensemble de l'Europe. Le texte « quasi-constitutionnel » pour les experts, entend renforcer les droits des personnes quant à leurs données personnelles. Dans le monde du travail, l'entreprise récupère la responsabilité du traitement et de la sécurité des données tandis que les contrôles et sanctions des autorités devraient être renforcés. A l'heure où l'intelligence artificielle se déploie dans tous les domaines et que les algorithmes sont largement utilisés par les entreprises, des questions éthiques semblent se poser.
« Il est naïf de penser que les grands textes tels que le RGPD vont traiter l'ensemble des problématiques liées au numérique », explique le 'digital champion' Gilles Babinet, dans une vidéo diffusée à l'occasion de la publication de la charte. « Il faut mettre, au-dessus de la loi, les préoccupations éthiques. » Plus précisément, pour le monde de l'entreprise, « le cadre RH est l'un des cadres les plus appropriés aux enjeux éthiques », ajoute-t-il avant de conclure : « En somme, un pied dans la modernité et des garde-fous pour éviter de faire n'importe quoi. » Le numérique, moyen d'accroître la compétitivité ou d'écraser les travailleurs ? Un rôle de garde-fou, c'est exactement ce que représente cette charte Ethique et Numérique RH pour ses auteurs. « La question est : dans quelle société souhaite-t-on vivre ? Est-ce que c'est celle qui est dépeinte dans les films de science-fiction actuels, où les gens sont tous identiques et vivent par groupe de ressemblance par gain de productivité ? », interroge François Hommeril, président de la CFE-CGC. Question rhétorique bien sûr. Après une journée de débats en 2017 organisée par le syndicat sur le thème de l'intelligence artificielle, 92% des militants présents ont trouvé nécessaire d'effectuer une enquête sur l'impact de l'IA sur les RH. « Aujourd'hui, beaucoup d'entreprises réalisent que les besoins de leurs salariés se transforment profondément et que le numérique bouleverse leur organisation en profondeur », précise Jérémy Lamri, du Lab RH.
« Le numérique peut à la fois être utilisé de manière émancipatoire, permettre de meilleurs échanges au sein des organisations (...) bref, accroître la compétitivité dans des conditions positives pour les salariés. Mais le numérique et l'IA, utilisés à mauvais escient, peuvent [aussi] au contraire écraser les travailleurs, les assigner à un rôle professionnel qui ne correspond pas à leur souhait et les mettre en difficulté. » Comme exemples, les instigateurs de la charte citent notamment le deep learning qui peut faire preuve de discriminations lors de l'utilisation d'algorithmes pour des recrutements ou encore dans le volet « gestion de carrière », l'importance trop importante qu'occupent les données professionnelles du « passé » pour déterminer des missions futures d'un candidat. « La machine permet de nombreuses pratiques aujourd'hui mais doit-on pour autant toutes les utiliser ? », questionne un expert lors de la présentation de la charte.
« L'idée est de repartir de la page blanche, évacuer les stéréotypes notamment, reconquérir les RH grâce au numérique. » Pour reprendre une formule désormais connue et réadaptée pour l'occasion « Make HR [pour "human ressources", Ndlr] great again », comme on peut le lire en préambule de la charte.
« La fonction RH a été mécanisée quelque part, a perdu de son influence, de son autonomie », ajoute François Hommeril de la CFE-CGC. « Ça ne peut pas durer. On va revenir à l'Humain. La création de valeur par le capital humain de l'entreprise est fondamentale. » Des conseils dans toutes les étapes du cycle de vie des données Plus précisément la charte, écrite par la CFE-CGC et le Lab RH avec la participation d'experts universitaires, auteurs, scientifiques et un DRH, propose un cadre de « bonnes pratiques » des solutions numériques dans le domaine des RH.
[Capture d'écran d'un extrait de la charte "Éthique et Numérique RH"] Les recommandations de la charte interviennent pour les différentes étapes du cycle de vie des données. Largement, en ce qui concerne l'acquisition des données. On peut y lire notamment.
« Il est impératif que les données recueillies concernant un individu {le} soient en amont de l'usage fait de ces données sur la base du volontariat et de façon éclairée (...) Le refus par un individu de recueillir ses données personnelles, ne peut constituer pour l'individu en question un critère de discrimination », précise le document. Concernant le traitement algorithmique, la charte définit des bonnes pratiques via les principes de loyauté, de neutralité, de simplicité et d'explicabilité, de maitrise et de précaution du traitement algorithmique. Et ce, même si le traitement est sous-traité. De bonnes dispositions pour la restitution, la structuration et le stockage des données sont également décrites. En outre, la charte conseille de mettre en place des actions de formation auprès de l'ensemble du personnel concernant le cycle de vie des données, les enjeux et les conséquences.
Charte Éthique et Numérique RH publié par latribune.fr
Pas une contrainte pour les entreprises, plutôt un argument commercial Mais la publication du document ne marque que le début d'un processus. En effet, le Lab RH et la CFE-CGC appellent désormais quiconque le souhaiterait (des syndicats aux associations de DRH) à participer à la version finale du texte. Des ateliers, ouverts à tous, seront organisés entre mi-février et mi-avril.
« Nous travaillons également à l'élaboration d'un label qui concernera plutôt les algorithmes éthiques et moins la charte en elle-même », précise Jérémy Lamri, du Lab RH. Il prévient : le texte n'a pas pour ambition de devenir un document contraignant pour les entreprises.
« Nous voudrions concerner tous les acteurs et intégrer les bonnes pratiques dans le quotidien des entreprises. Interpeller au-delà même des DRH, que ce soit les Correspondants Informatique et Libertés (CIL) (*), [fonction clé dans la mise en application du RGPD, Ndlr] ou d'autres interlocuteurs dans les entreprises. » Le respect de cette charte peut aussi représenter un argument commercial pour les entreprises, précise le co-fondateur du Lab RH. Et pour faciliter la diffusion et la démocratisation de la charte, la Cnil a d'ores et déjà prévu de participer à la version finale et de la transmettre au plus grand nombre d'entreprises via différents supports. La charte enrichie devrait être présentée à la fin du premier semestre 2018. Soit, en même temps que l'entrée en vigueur du RGPD. ____ (*) Définition de la CNIL: « Le délégué est chargé de mettre en uvre la conformité au règlement européen sur la protection des données au sein de l'organisme qui l'a désigné. Sa désignation est obligatoire dans certains cas. »
A l'heure où l'intelligence artificielle se déploie dans tous les domaines et que les algorithmes sont largement utilisés par les entreprises, des questions éthiques semblent se poser.
DATE-CHARGEMENT: 1 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
78 of 500 DOCUMENTS
La Tribune
Jeudi 1 Février 2018
Nos données ne sont pas données
AUTEUR: Philippe Boyer
RUBRIQUE: FOCUS; Pg. 23
LONGUEUR: 957 mots
ENCART: La carte d'identité digitale d'un individu regroupe l'ensemble de ses données personnelles. L'enjeu des prochaines années consistera à reprendre le contrôle de cette masse d'informations encore trop souvent abandonnées à des tiers. Par Philippe Boyer, directeur de l innovation, Foncière des régions.
A l'échelle d'Internet, c'est un phénomène qui date de moins d'une dizaine d'années. Il a fallu la prise de conscience du poids croissant des GAFA (Google, Facebook, Apple, Amazon) pour réaliser qu'au-delà de nous faciliter la vie en répondant à toutes nos questions, ces sociétés ont développé leur modèle d'affaire sur la collecte et l'analyse des données personnelles de leurs utilisateurs. RGPD : la question de la propriété des données personnelles Aujourd'hui, la question de la gestion et de la propriété de ces données prend une ampleur toute particulière à l'heure où les Etats et les citoyens entendent reprendre en main leur destin numérique. Rien qu'en France, en 2014, le Conseil d'Etat s'interrogeait déjà sur cette question en rappelant que « face aux limites actuelles de la protection des données à caractère personnel, il est parfois proposé de donner aux individus un véritable droit de propriété sur leurs données... et qu'en l'état du droit, il n'existe pas de droit de propriété de l'individu sur ses données personnelles. » Au plan légal, la réflexion sur cette question a pris un tour particulier avec l'adoption au plan européen du RGPD, entendez « Règlement général sur la protection des données ».
A son entrée en vigueur, au mois de mai prochain, le citoyen consommateur devra exprimer son consentement, de manière explicite, sur la façon dont les marques collectent leurs informations, ce qu'elles en font et comment, le cas échéant, les récupérer dans leur intégralité. Une petite révolution qui va obliger des millions d'entreprises à revoir la conception de leurs supports numériques pour être plus transparents. Comme des mines à ciel ouvert
Ce texte fondateur est la preuve s'il en est que les données fournies gratuitement par les utilisateurs sont le nouvel « or noir » de l'économie numérique. Que les fins soient commerciales, ou « communautaires » (les réseaux sociaux sont à la croisée de ces deux mondes), la data se trouve toujours au centre de cette économie qui cherche à monétiser ces très précieuses informations personnelles. C'est en partant de ce constat que ces données ont une indéniable valeur que de nouvelles propositions voient le jour. Elles s'appuient sur l'idée évidente qu'il nous faut conserver la maîtrise et la propriété de nos données digitales en exerçant un véritable droit de propriété sur ce capital immatériel. Tout comme nous exerçons notre libre arbitre couplé d'un droit de propriété réel quand il s'agit de donner un organe, vendre une création artistique ou encore transmettre un patrimoine matériel, les données personnelles doivent, elles aussi, pleinement profiter à celui qui en est « l'auteur », contrairement à la situation actuelle où elles ne sont que des mines à ciel ouvert, où ceux qui sont destinataires de ces précieuses informations peuvent capter cette matière première sans aucune forme de compensation autre que celle du service fourni à l'utilisateur ou au client, selon que la prestation est gratuite ou pas. Reprendre le contrôle sur nos data Il faut saluer l'initiative du think tank Génération Libre qui, dans son dernier rapport récemment publié « Mes data sont à moi», propose rien moins que d'instaurer une patrimonialité des données, rémunérée, comme il se doit pour n'importe quel autre bien. Dans cette logique, et après consentement de son propriétaire, les données pourraient ainsi s'échanger sur un nouveau marché organisé selon la loi de l'offre et de demande et offrant à ce titre une rétribution à ceux qui génèrent cette donnée. Séduisante au premier abord, ne serait-ce que pour rééquilibrer le rapport de force aujourd'hui largement déséquilibré, cette idée risque de ne pas être simple à mettre en uvre. Comment prouver que les données échangées sont bien celles du propriétaire déclaré ? A cela, ce think-tank répond que des solutions technologiques aujourd'hui disponibles pourraient venir en renfort, notamment la cryptologie blockchain. Monétiser ses données, un formidable axe commercial
Flairant que cette question de la maîtrise des données personnelles et leur valeur sur un marché encore à construire sera peut-être demain un formidable axe commercial, des startups commencent à apparaître. Citons la française Dawex ou encore l'allemande Wysker qui proposent des places de marché où les propriétaires de données peuvent les monétiser auprès de clients demandeurs. Pour faire un pas plus loin, pourquoi ne pas envisager que ces nouvelles formes de contractualisation du marché des données puissent également abonder un fonds, sorte de taxation indirecte des GAFA, alors que l'actualité de ces derniers mois a montré combien il s'avérait difficile d'établir et de faire respecter des règles de paiement à l'impôt pour ces géants du Net. Face au constat que nos données personnelles possèdent une indéniable valeur et que l'on ne peut plus se contenter de les abandonner sans mieux en encadrer l'usage, autrement dit ne plus se contenter de cocher la case « J'accepte », de nouvelles initiatives se multiplient. Comme l'écrit le think-tank Génération Libre, celles-ci visent à « inscrire ce droit de propriété dans la suite logique du Règlement général sur la protection des données personnelles. Une opportunité pour l'Europe d'innover... » ___
La Tribune : consulter mes articles en ligne https://www.latribune.fr/blogs/homo-numericus/accueil.html Opinion Internationale : consulter mes articles en ligne https://www.opinion-internationale.com/
Découvrez « Ville connectée - vies transformées - Notre prochaine utopie ? » paru aux Editions Kawa. Visitez mon blog http://philippeboyer.strikingly.com/#mes-articles-and-chroniques Contactez-moi via Twitter @Boyer_Ph
Philippe Boyer, directeur de l innovation, Foncière des régions.
DATE-CHARGEMENT: 31 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
79 of 500 DOCUMENTS
La Tribune
Jeudi 1 Février 2018
Big Data : les leçons à tirer de l'année écoulée et les enjeux à maîtriser en 2018
AUTEUR: Florian Douetteau, Dataiku
RUBRIQUE: OPINIONS; Pg. 110
LONGUEUR: 917 mots
ENCART: En 2017, les entreprises ont eu à faire face aux nouvelles réglementations liées au numérique et à l'évolution rapide de leur environnement commercial. Au cours de cette année, la donnée s'est imposée comme la ressource principale. Son exploitation à travers l'Intelligence Artificielle (IA), la gouvernance ou le "deep learning" est devenue le levier de performance par excellence dont disposent les entreprises, tous secteurs confondus. Le bilan de l'année écoulée fournit de nombreuses clés pour appréhender les défis qui s'annoncent en 2018, tels que l'approche agile et le commerce "data-driven". Par Florian Douetteau, CEO, Dataiku.
2017 a fait de la donnée le principal indicateur de performance
Un enjeu stratégique majeur La donnée pourrait bien être le plus grand challenge de la décennie. L'activité commerciale des entreprises génère de plus en plus de données, à mesure que les points de contact avec les clients se multiplient. Pour être réellement efficace, leur exploitation dépend de plusieurs paramètres, parmi lesquels l'exactitude des données et leur fraîcheur. Par ailleurs, ces volumes de données posent des questions de sécurité, dont on ressent davantage l'urgence dans certains domaines, tels que la finance ou la cybersécurité. Les récents déboires de certains grands groupes, dont des données sensibles ont été exposées par inadvertance et d'autres piratées, ont souligné l'importance d'une structure qui encadre le stockage et l'exploitation des données. Cet encadrement s'est manifestée par l'émergence du Chief Data Officer (CDO, directeur des données). Un rôle qui, par sa spécialisation dans la gestion du traitement des données, pourrait bien amplifier l'impact des actions commerciales et accélérer la transformation numérique des entreprises. La data gouvernance, et la réglementation en matière de données (RGPD) répondent aux problématiques posées en 2017.
En 2018, ces deux mesures s'imposent davantage comme une nécessité.
Un environnement qui change rapidement Confrontées à une évolution de plus en plus rapide du marché, les entreprises doivent se montrer agiles et ingénieuses afin de créer de la valeur autour de la donnée. Créer de la valeur revient à placer la donnée au c ur du projet d'entreprise : en interne, les efforts doivent être réalisés de concert entre les différents postes clés. L'entreprise est également tenue de déterminer son usage des flux de données générés par les canaux spécifiques (réseaux sociaux, moteurs de recherche), et s'en servir comme avantage concurrentiel. Elle doit donc s'appuyer sur les profils particulièrement qualifiés dans l'analyse et l'exploitation des données. Les formations spécialisées dans l'exploitation du Big Data ont d'ailleurs vu le jour. En 2017, la stratégie d'entreprise est donc résolument orientée par la donnée.
Des conséquences directes dans les secteurs tels que le commerce de biens Si le rachat aux Etats-Unis du géant de l'alimentaire bio (Whole Foods) par Amazon a fait grand bruit, c'est parce que ce rachat concrétise la chute de la barrière déjà ténue entre commerce en ligne et commerce physique. Cette incursion augure d'une révolution dans le commerce de détail. Une révolution dont on peine encore à dessiner les contours. Une chose est sûre cependant : ceux qui en tireront avantage seront ceux qui maîtriseront le mieux l'exploitation de la donnée.
Des freins persistants Malgré tout, certains acteurs du marché demeurent réticents à l'adoption d'une stratégie orientée par la donnée (data-driven). Les raisons peuvent être multiples et tiennent souvent davantage des habitudes ou de la difficulté à adopter une structure transversale. L'évolution se fera de toute manière de façon progressive, notamment dans les grands groupes. Elle n'en est pas moins urgente : les GAFAMI*, et à présent les NATU**, vont contraindre les entreprises à accélérer le rythme. En 2018, le succès d'une entreprise reposera sur une bonne exploitation de la donnée
Démocratiser le deep learning et l'analyse prédictive Le machine learning n'est déjà plus une option. C'est une discipline nécessaire, quand on sait l'impact immense qu'aura l'automatisation des tâches les plus chronophages sur la performance des entreprises. En 2018, la productivité sera directement liée à l'usage de l'intelligence artificielle et donc du machine learning. Dans le domaine de la banque, l'IA permet déjà aux conseillers de disposer plus rapidement des informations relatives à leurs clients. L'analyse prédictive en bénéficie également, puisque le machine learning permettra d'organiser l'information plus rapidement et plus efficacement. Libérés des tâches préalables à l'exercice de leurs compétences, les collaborateurs pourront se consacrer pleinement à leur métier propre. La compétitivité se joue aussi sur ce terrain-là.
Joindre les compétences liées à la donnée aux forces commerciales 2018 va certainement concrétiser le lien qui s'établit entre les data analysts et les équipes commerciales. Les données étant de plus en plus disponibles en temps réel, leur analyse a quitté ses quartiers isolés pour devenir plus opérationnelle. De plus, le machine learning ne se suffit pas encore à lui-même, car les modèles d'apprentissage doivent être adaptés à l'évolution du marché. Afin de tirer le meilleur avantage du machine learning et de l'exploitation des données en temps réel, data analysts et commerciaux sont appelés à travailler en synergie. 2017 a poussé les entreprises à être plus à l'écoute des changements rapides occasionnés par le Big Data. En 2018, elles devront prendre les devants plutôt que de suivre les changements, voire initier elles-mêmes les évolutions en se montrant plus innovantes et plus ingénieuses. ___ NOTES (*) Les géants du numérique ayant marqué cette décennie : Google, Amazon, Facebook, Microsoft et IBM. (**) Les nouveaux grands acteurs du numérique : Netflix, Airbnb, Tesla, Uber.
2018 va certainement concrétiser le lien qui s'établit entre les data analysts et les équipes commerciales. Les données étant de plus en plus disponibles en temps réel, leur analyse a quitté ses quartiers isolés pour devenir plus opérationnelle.
DATE-CHARGEMENT: 31 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
80 of 500 DOCUMENTS
Le Cercle
jeudi 1 février 2018
Le Data Protection Officer n'est pas un homme-orchestre providentiel
AUTEUR: Guillaume Tollet
RUBRIQUE: ARTICLE; Comment transformer la nouvelle norme théorique du RGPD en bonnes pratiques concrètes
LONGUEUR: 672 mots
ENCART: Le Règlement Général sur la Protection des Données (ou "RGPD") fait couler beaucoup d'encre en ce moment et tétanise les grands dirigeants d'entreprise au regard des sanctions possibles qui peuvent s'élever à 4 % du CA mondial.
En effet, ce texte européen adopté en avril 2016 et applicable à partir du 25 mai 2018 remet au centre des préoccupations la liberté fondamentale des citoyens de choisir à qui confier leurs données personnelles et responsabilise grandement les entreprises dans le traitement des données de leurs clients et salariés.
De nombreuses entreprises ont pris ce nouveau paradigme de conformité à la légère et n'ont pas anticipé son application, d'où le vent de panique constaté ces dernières semaines. Les entreprises doivent donc s'organiser rapidement et déployer leur mise en conformité au RGPD en nommant un Data Protection Officer (DPO).
La nomination du DPO est une obligation pour toute autorité publique ou organisme public (collectivités territoriales, État...) et pour les organismes privés qui effectuent un suivi régulier et systématique à grande échelle de personne. En un mot : quasiment toutes les entreprises vont devoir nommer un DPO et elles ont tout intérêt à le faire, car même en cas de désignation non obligatoire du DPO, la conformité RGPD s'imposera tout de même aux entreprises concernées.
Comment transformer la nouvelle norme théorique du RGPD en bonnes pratiques concrètes
Le Data Protection Officer est une nouvelle fonction imposée par le RGPD qui doit urgemment trouver sa place au sein des entreprises françaises. Au-delà du rappel à la norme et aux nouvelles règles, il devra déployer le plan d'action de conformité au RGPD pour permettre à son entreprise de se mettre en conformité tout en continuant à innover et à diversifier ses produits qui utiliseront logiquement de plus en plus de données dans les années à venir.
Les chefs d'entreprise devront donc s'appuyer sur lui et sur la gouvernance mise en place pour analyser finement les risques sur la vie privée afin de prendre leurs décisions de manière éclairée. Il devra également s'adapter à la culture et au mode d'interaction de son entreprise pour faire accepter ce changement de pratiques. En effet, le véritable enjeu de ce nouveau métier est de transformer la nouvelle norme théorique du RGPD en bonnes pratiques concrètes applicables et appliquées par les différents métiers de son entreprise.
Fonction reposant sur différentes expertises : maitrise des données, juridiques, informatiques, direction de projet, mais surtout coopération avec l'ensemble des directions de l'entreprise, le DPO doit s'appuyer sur une gouvernance des données solide au sein de l'entreprise. Cette gouvernance devra être constituée d'un noyau dur composé du DPO, du Chief Data Officer (CDO), du DSI et du Directeur Juridique ainsi que de relais conformité dans les différents services.
Le DPO va donc jouer un rôle clé dans les mois et années à venir dans la vie des entreprises, car il va être le véritable pilote de la conformité pour l'ensemble des traitements de données personnelles de l'entreprise. Il va donc devoir informer et conseiller la Direction Générale, sensibiliser les collaborateurs, mais également accompagner et contrôler la bonne application du RGPD dans le temps.
Très concrètement, le DPO doit coordonner le plan d'action de conformité, remonter les risques, lister les mesures correctrices et être associé le plus en amont aux nouveaux projets pour analyser les dangers potentiels sur la vie privée. Dans ce cadre-là, le DPO doit reporter au plus haut niveau de l'entreprise et bénéficier d'une grande indépendance dans l'accomplissement de ses missions. À ce titre, il ne peut occuper une fonction au sein de l'organisme qui le conduit à déterminer les finalités d'un traitement de données, ce qui équivaudrait à le mettre dans une position de juge et parti très inconfortable.
Au-delà de cette première étape de mise en conformité RGPD qu'il faut rapidement réaliser, les entreprises devront, dans la durée, se responsabiliser dans l'exploitation des données personnelles de leurs clients. Elles devront donc mettre en place une nouvelle éthique de la donnée pour retrouver leur confiance et continuer à innover de façon responsable dans le digital.
DATE-CHARGEMENT: 2 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
81 of 500 DOCUMENTS
Stratégies
1 février 2018
Edition 1;
National Edition
L'AVENTURE C'EST LA RUPTURE;
FUTUR Avec la parution de son livre blanc prospectif sur la disruption, l'agence Rapp dessine les nouveaux contours du rôle des marques. Portant le concept de « game changing », Rapp insiste sur une redéfinition de tous les modÈles, producteurs ou consommateurs.
AUTEUR: ALEXIS LE MEUR
RUBRIQUE: INSPIRATIONS TENDANCES; Pg. 34,35
LONGUEUR: 1004 mots
Personne n'a jamais inventé l'automobile en perfectionnant la race des chevaux. » C'est ainsi que commence le livre blanc baptisé « Game changing : bienvenue dans l'Ère de la rupture » de l'agence Rapp, spécialisée dans les interfaces digitales, la stratégie social media et les stratégies PRM et CRM. Huit contributeurs ont participé à l'ouvrage parmi lesquels Stéphane Hugon, sociologue et fondateur de l'agence Eranos, Marc Lalande, directeur du planning stratégique de Rapp ou encore Yann Aledo, cofondateur d'OpinionWay. Les huit thÈmes développpés tournent tous autour de la disruption.
« Nous sommes à un moment charniÈre dans la transformation de nos modÈles, mais les marques ne l'embrassent pas suffisamment, estime Philippe Bonnet, le président de Rapp. C'est pour cela que nous avons fait paraître ce livre. » Dans un contexte sociologique fort, Stéphane Hugon estime que « les douze derniÈres années ont prouvé que la société va plus vite que les marques », mettant ces derniÈres « en difficulté ». Alors le « game changing », quésaco ? DES ACTEURS TROP TIMORÉS. « Il faut considérer le prisme de la rupture non plus seulement comme un problÈme binaire mais comme libérateur d'énergie. C'est de cette façon que s'effectuent toutes les grandes transformations de notre monde », déclare Philippe Bonnet. En effet, le secteur dans sa globalité a longtemps pensé que cette disruption ne toucherait que certains pans de l'économie comme les millennials ou le luxe. D'aprÈs Stéphane Hugon : « Entre la révolution industrielle et 2004, la rÈgle du jeu a toujours été la même pour les marques. Sauf qu'à un moment, la culture populaire s'est emparée du digital, ce qui a considérablement rebattu les cartes. » C'est pour matérialiser cette disruption totale que Rapp parle de « game changing ». Avec des surprises chez des acteurs que l'on aurait cru plus innovants. «Une marque comme Airbnb ne crée plus suffisamment de rupture sur un marché de la location totalement disrupté. Elle s'aperçoit qu'elle doit insister sur l'immatériel [par exemple les nouveaux services qui permettent de réserver des activités -appelées "expériences"] et s'adapte petit à petit en emprutant des concepts à l'hôtellerie», rappelle Marc Lalande.
De maniÈre générale, selon Stéphane Hugon : «L'habitude consiste souvent à ne pas bouger, à attendre la crise. Car tant que le risque n'est pas vital, les gens ne changent pas. Le secteur bancaire, aprÈs la crise de 2007, en est un bon exemple. » Suite à l'énorme crise de défiance envers les banques, les mutualistes ont créé une nouvelle forme de relation sociale. Ce qui était leur faiblesse hier (celle de ne pas rechercher le profit à tout prix) s'est avéré être une force dans un environnement bouleversé. Mais le sociologue prévient : « Il faut faire attention avec ces mutations et les prendre au fur et à mesure, car lorsqu'une entreprise se crispe et tente d'avancer trop vite, elle finit toujours par perdre. » DE L'INDIVIDU À LA TRIBU. La tendance est à l'abandon du "user centric" au profit des communautés. « Le consommateur individuel n'existe plus. Chacun doit désormais être pris dans un contexte d'influence », explique Stéphane Hugon. Avec l'avÈnement des réseaux sociaux et des influenceurs, les marques cherchent à se recentrer sur ces cercles d'influence grâce à leur relation avec les consommateurs. Le sociologue voit la relation intime entre les marques et les consommateurs comme « utile car permettant d'identifier des groupes et des territoires à conquérir pour les annonceurs », le «user centric» ayant été « dépassé au profit de ce que l'on peut qualifier de marketing relationnel ». Ainsi l'individu disparaît au profit de la « tribu ». Marc Lalande abonde : « Il y a des constantes, comme le rappelle René Girard dans son ouvrage Le désir mimétique. Un individu seul ne peut définir son histoire et a besoin des autres pour exister. » Cette donnée se couple avec une prise de pouvoir du consommateur sur le marché, forçant les marques à s'adapter et non plus l'inverse. « Le consommateur est maintenant en capacité d'imposer des choses comme avec l'avÈnement du RGPD, par exemple. Cette mutation est fondamentale car elle oblige les marques statutaires à se repenser. Personne n'est à l'abri ! », annonce le président de Rapp. Selon lui, cette co-construction avec l'utilisateur est « une résultante vertueuse enrichissant chaque camp ». En acceptant de satisfaire les consommateurs, les marques peuvent ainsi enrichir leur data, en les poussant à donner des informations qu'ils n'auraient pas fourni d'eux-mêmes.
Que les marques soient rassurées. Pour Marc Lalande : « Même si les gens prennent conscience petit à petit de la puissance du réseau, il est clair qu'ils auront toujours besoin d'une marque. Mais il faut que les marques insistent sur des valeurs de contenu plutôt que de branding. » Attirées par le modÈle des Gafam, elles perdent leur pré carré en devenant des vassales de Google ou d'Amazon. N'étant plus émettrices, elles se coupent de la potentialité de choisir leur message et la maniÈre dont il sera relayé. « Il y a un véritable risque d'appauvrissement de la narration à cause de ces modÈles, car l'orientation technique des données nous coupe de l'imaginaire », avoue Stéphane Hugon. Pour y faire face, les marques s'associent à des artistes afin de recommencer à raconter de belles histoires.
UN RÔLE PLUS COMPLET. « Il faut que les marques réenchantent l'imaginaire des consommateurs car c'est comme cela qu'elles sont le plus porteuses de sens », poursuit-il. Selon Marc Lalande : « Pour qu'une marque fonctionne, il faut qu'elle soit "affordante" [capacité d'un objet à suggérer son utilisation]. Si vous disposez de la meilleure offre mais que le consommateur ne la comprend pas, cela ne sert à rien. » Une vision globale est donc la condition sine qua non, ce que rappelle Philippe Bonnet : « Cette approche permet d'élever tous les acteurs. Nous construisons des systÈmes de création et non plus seulement des réponses créatives. » ?
DATE-CHARGEMENT: February 1, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
82 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 31 Janvier 2018
"Nous attendons 6 000 visiteurs sur Cloud Computing World Expo 2018"
AUTEUR: Antoine Crochet-damais
RUBRIQUE: INTERVIEW; Cloud
LONGUEUR: 946 mots
ENCART: En parallèle des salons Solutions Datacenter Management et IoT Expo, l'événement se tiendra en mars au Parc des Expositions de la Porte de Versailles à Paris.
Denis Rémy est organisateur des salons Cloud Computing World Expo, Datacenter Expo et IoT World. © Cherche Midi Expo
La 9e édition de Cloud Computing World Expo se tiendra les 21 et 22 mars prochains au Parc des Expositions de la Porte de Versailles à Paris. En 2017, l'événement avait accueilli 5 400 visiteurs. Le salon rassemblera plus de 150 exposants, à la fois des fournisseurs de cloud (public et privé) et des prestataires de services associés. En parallèle se tiendront les salons Solutions Datacenter Management et IoT World.
JDN. Quelles sont les principales tendances que vous observez sur le front du cloud cette année ?
Denis Rémy. L'actualité du secteur est toujours aussi riche, des start-up aux grandes entreprises en passant par l'écosystème des fournisseurs et des entreprises de services gravitant autour. L'ouverture par Amazon et Microsoft de data centers localisés en France s'inscrit dans ce mouvement. L'arrivée dans l'Hexagone de ces acteurs américains contribue à enrichir l'offre de clouds localisés avec un hébergement des données en France. Ce segment a pour but de répondre aux problématiques de sécurité IT et de conformité aux règlements liés à la gestion des données, dont naturellement le RGPD (règlement européen sur la protection des données, ndlr) qui entrera en vigueur le 25 mai 2018.
DSI et RSSI sont particulièrement mobilisés sur les enjeux de sécurité associés aux projets de migration et de déploiement d'applications dans le cloud. Face à ce constat, nous avons décidé de proposer dans le cadre de Cloud Computing World Expo un forum centré sur la question : Sécurité@Cloud. C'est l'une des principales nouveautés cette année. Il s'articulera autour d'une douzaine de tables rondes sur lesquelles interviendront des RSSI, des experts en sécurité ou encore des avocats. Elles couvriront à la fois les défis de sécurité liés au cloud mais aussi aux objets connectés.
Qu'en est-il des grandes thématiques au programme de Cloud Computing World Expo cette année ?
Elles sont nombreuses. Les tables rondes et interventions porteront notamment sur le cloud brokering, le cloud et l'IA, la réversibilité, le multicloud, les politiques de développement cloud-first, les coûts, la containérisation et les microservices, sans oublier la place du cloud dans la transformation numérique et les stratégies d'organisation. L'événement rassemblera plus de 150 exposants, à la fois des fournisseurs de cloud public et privé, et des prestataires de services associés. En parallèle de Cloud Computing World Expo, Solutions Datacenter Management aura son propre espace d'exposition, avec à la clé un programme d'une dizaine de tables rondes centrées sur les centres de données modernes.
Des DSI et CTO de nombreuses grandes marques seront là pour témoigner : EDF, Engie, Bonduelle, HEC, PSA...
Un espace d'exposition sera par ailleurs consacré aux technologies de blockchain. Il regroupera divers acteurs de la chaîne de bloc : concepteurs et opérateurs, développeurs d'applicatifs, sociétés de services et de conseils spécialisées dans le domaine... Un programme de 6 tables rondes, montées en lien avec le pôle de compétitivité France Innovation, lui est dédié. Pour la première fois, nous proposerons en parallèle un forum sur l'intelligence artificielle, International Artificial Intelligence Congress, avec là-encore 6 tables rondes. Enfin, pour la cinquième année consécutive, Cloud Computing World Expo accueillera l'Open Cloud Forum by OW2, une après-midi de présentations de projets et de conférences préparées par la communauté open source OW2. Au total, nous attendons quelque 6 000 visiteurs cette année.
Aux côtés de Cloud Computing World Expo et Solutions Datacenter Management, vous organisez également IoT Expo pour la 3e année consécutive...
Cet événement prend de l'ampleur. Pour cette nouvelle édition, nous avons prévu un programme de 40 conférences : tables rondes, ateliers de bonnes pratiques... Il a pour but de couvrir toute la chaine d'un projet IoT : la question du modèle économique et des usages et applications sectoriels, celle des plateformes et environnements de développement et d'exécution, les problématiques réseaux & télécoms, de traitement et stockage des données produites par les objets, mais aussi les défis en matière de sécurité.
Quels seront les dispositifs pour favoriser le networking ?
Comme les années précédentes, nous proposerons un service de rendez-vous d'affaires. Il permettra aux visiteurs d'être mis en relation avec des exposants qui peuvent les intéresser, en fonction de leurs besoins et projets en cours. Le dispositif est d'abord destiné aux exposants qui en font la demande. Il fera l'objet d'entretiens de qualification en amont. Sur les salons, un espace sera dédié aux rendez-vous qui auront pu être pris dans le cadre du processus.
En parallèle de ce premier service, nous avions mis en place en 2017 un espace de conseil en matière de financement de projets. Il s'adresse aux start-up et départements de grandes entreprises en quête de financements publics ou souhaitant bénéficier du crédit d'impôt recherche. Il sera de nouveau proposé cette année, avec en plus un espace de conseil juridique. Monté en lien avec un avocat, ce dernier permettra d'aborder les principaux enjeux juridiques et contractuels liés à la mise sur pied d'un nouveau concept ou d'un nouveau produit numérique.
Information et inscription sur le site de l'événement
A lire aussi : Le salon IoT World se tiendra les 21 et 22 mars
Avec plus de 6 000 visiteurs attendus, l'événement sera l'occasion de découvrir quelque 160 exposants centrés sur l'Internet des objets. Un programme de 40 conférences est également au menu.
DATE-CHARGEMENT: 22 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2018 Benchmark Group
Tous droits réservés
83 of 500 DOCUMENTS
La Tribune.fr
Mercredi 31 Janvier 2018 4:48 PM CET
Nos données ne sont pas données
AUTEUR: Philippe Boyer
RUBRIQUE: OPINIONS; HOMO NUMERICUS
LONGUEUR: 957 mots
ENCART: La carte d'identité digitale d'un individu regroupe l'ensemble de ses données personnelles. L'enjeu des prochaines années consistera à reprendre le contrôle de cette masse d'informations encore trop souvent abandonnées à des tiers. Par Philippe Boyer, directeur de l innovation, Foncière des régions.
A l'échelle d'Internet, c'est un phénomène qui date de moins d'une dizaine d'années. Il a fallu la prise de conscience du poids croissant des GAFA (Google, Facebook, Apple, Amazon) pour réaliser qu'au-delà de nous faciliter la vie en répondant à toutes nos questions, ces sociétés ont développé leur modèle d'affaire sur la collecte et l'analyse des données personnelles de leurs utilisateurs. RGPD : la question de la propriété des données personnelles Aujourd'hui, la question de la gestion et de la propriété de ces données prend une ampleur toute particulière à l'heure où les Etats et les citoyens entendent reprendre en main leur destin numérique. Rien qu'en France, en 2014, le Conseil d'Etat s'interrogeait déjà sur cette question en rappelant que « face aux limites actuelles de la protection des données à caractère personnel, il est parfois proposé de donner aux individus un véritable droit de propriété sur leurs données... et qu'en l'état du droit, il n'existe pas de droit de propriété de l'individu sur ses données personnelles. » Au plan légal, la réflexion sur cette question a pris un tour particulier avec l'adoption au plan européen du RGPD, entendez « Règlement général sur la protection des données ».
A son entrée en vigueur, au mois de mai prochain, le citoyen consommateur devra exprimer son consentement, de manière explicite, sur la façon dont les marques collectent leurs informations, ce qu'elles en font et comment, le cas échéant, les récupérer dans leur intégralité. Une petite révolution qui va obliger des millions d'entreprises à revoir la conception de leurs supports numériques pour être plus transparents. Comme des mines à ciel ouvert
Ce texte fondateur est la preuve s'il en est que les données fournies gratuitement par les utilisateurs sont le nouvel « or noir » de l'économie numérique. Que les fins soient commerciales, ou « communautaires » (les réseaux sociaux sont à la croisée de ces deux mondes), la data se trouve toujours au centre de cette économie qui cherche à monétiser ces très précieuses informations personnelles. C'est en partant de ce constat que ces données ont une indéniable valeur que de nouvelles propositions voient le jour. Elles s'appuient sur l'idée évidente qu'il nous faut conserver la maîtrise et la propriété de nos données digitales en exerçant un véritable droit de propriété sur ce capital immatériel. Tout comme nous exerçons notre libre arbitre couplé d'un droit de propriété réel quand il s'agit de donner un organe, vendre une création artistique ou encore transmettre un patrimoine matériel, les données personnelles doivent, elles aussi, pleinement profiter à celui qui en est « l'auteur », contrairement à la situation actuelle où elles ne sont que des mines à ciel ouvert, où ceux qui sont destinataires de ces précieuses informations peuvent capter cette matière première sans aucune forme de compensation autre que celle du service fourni à l'utilisateur ou au client, selon que la prestation est gratuite ou pas. Reprendre le contrôle sur nos data Il faut saluer l'initiative du think tank Génération Libre qui, dans son dernier rapport récemment publié « Mes data sont à moi», propose rien moins que d'instaurer une patrimonialité des données, rémunérée, comme il se doit pour n'importe quel autre bien. Dans cette logique, et après consentement de son propriétaire, les données pourraient ainsi s'échanger sur un nouveau marché organisé selon la loi de l'offre et de demande et offrant à ce titre une rétribution à ceux qui génèrent cette donnée. Séduisante au premier abord, ne serait-ce que pour rééquilibrer le rapport de force aujourd'hui largement déséquilibré, cette idée risque de ne pas être simple à mettre en uvre. Comment prouver que les données échangées sont bien celles du propriétaire déclaré ? A cela, ce think-tank répond que des solutions technologiques aujourd'hui disponibles pourraient venir en renfort, notamment la cryptologie blockchain. Monétiser ses données, un formidable axe commercial
Flairant que cette question de la maîtrise des données personnelles et leur valeur sur un marché encore à construire sera peut-être demain un formidable axe commercial, des startups commencent à apparaître. Citons la française Dawex ou encore l'allemande Wysker qui proposent des places de marché où les propriétaires de données peuvent les monétiser auprès de clients demandeurs. Pour faire un pas plus loin, pourquoi ne pas envisager que ces nouvelles formes de contractualisation du marché des données puissent également abonder un fonds, sorte de taxation indirecte des GAFA, alors que l'actualité de ces derniers mois a montré combien il s'avérait difficile d'établir et de faire respecter des règles de paiement à l'impôt pour ces géants du Net. Face au constat que nos données personnelles possèdent une indéniable valeur et que l'on ne peut plus se contenter de les abandonner sans mieux en encadrer l'usage, autrement dit ne plus se contenter de cocher la case « J'accepte », de nouvelles initiatives se multiplient. Comme l'écrit le think-tank Génération Libre, celles-ci visent à « inscrire ce droit de propriété dans la suite logique du Règlement général sur la protection des données personnelles. Une opportunité pour l'Europe d'innover... » ___
La Tribune : consulter mes articles en ligne https://www.latribune.fr/blogs/homo-numericus/accueil.html Opinion Internationale : consulter mes articles en ligne https://www.opinion-internationale.com/
Découvrez « Ville connectée - vies transformées - Notre prochaine utopie ? » paru aux Editions Kawa. Visitez mon blog http://philippeboyer.strikingly.com/#mes-articles-and-chroniques Contactez-moi via Twitter @Boyer_Ph
Philippe Boyer, directeur de l innovation, Foncière des régions.
DATE-CHARGEMENT: 31 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
84 of 500 DOCUMENTS
La Tribune.fr
Mercredi 31 Janvier 2018 4:20 PM CET
Big Data : les leçons à tirer de l'année écoulée et les enjeux à maîtriser en 2018
AUTEUR: Florian Douetteau, Dataiku
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 917 mots
ENCART: En 2017, les entreprises ont eu à faire face aux nouvelles réglementations liées au numérique et à l'évolution rapide de leur environnement commercial. Au cours de cette année, la donnée s'est imposée comme la ressource principale. Son exploitation à travers l'Intelligence Artificielle (IA), la gouvernance ou le "deep learning" est devenue le levier de performance par excellence dont disposent les entreprises, tous secteurs confondus. Le bilan de l'année écoulée fournit de nombreuses clés pour appréhender les défis qui s'annoncent en 2018, tels que l'approche agile et le commerce "data-driven". Par Florian Douetteau, CEO, Dataiku.
2017 a fait de la donnée le principal indicateur de performance
Un enjeu stratégique majeur La donnée pourrait bien être le plus grand challenge de la décennie. L'activité commerciale des entreprises génère de plus en plus de données, à mesure que les points de contact avec les clients se multiplient. Pour être réellement efficace, leur exploitation dépend de plusieurs paramètres, parmi lesquels l'exactitude des données et leur fraîcheur. Par ailleurs, ces volumes de données posent des questions de sécurité, dont on ressent davantage l'urgence dans certains domaines, tels que la finance ou la cybersécurité. Les récents déboires de certains grands groupes, dont des données sensibles ont été exposées par inadvertance et d'autres piratées, ont souligné l'importance d'une structure qui encadre le stockage et l'exploitation des données. Cet encadrement s'est manifestée par l'émergence du Chief Data Officer (CDO, directeur des données). Un rôle qui, par sa spécialisation dans la gestion du traitement des données, pourrait bien amplifier l'impact des actions commerciales et accélérer la transformation numérique des entreprises. La data gouvernance, et la réglementation en matière de données (RGPD) répondent aux problématiques posées en 2017.
En 2018, ces deux mesures s'imposent davantage comme une nécessité.
Un environnement qui change rapidement Confrontées à une évolution de plus en plus rapide du marché, les entreprises doivent se montrer agiles et ingénieuses afin de créer de la valeur autour de la donnée. Créer de la valeur revient à placer la donnée au c ur du projet d'entreprise : en interne, les efforts doivent être réalisés de concert entre les différents postes clés. L'entreprise est également tenue de déterminer son usage des flux de données générés par les canaux spécifiques (réseaux sociaux, moteurs de recherche), et s'en servir comme avantage concurrentiel. Elle doit donc s'appuyer sur les profils particulièrement qualifiés dans l'analyse et l'exploitation des données. Les formations spécialisées dans l'exploitation du Big Data ont d'ailleurs vu le jour. En 2017, la stratégie d'entreprise est donc résolument orientée par la donnée.
Des conséquences directes dans les secteurs tels que le commerce de biens Si le rachat aux Etats-Unis du géant de l'alimentaire bio (Whole Foods) par Amazon a fait grand bruit, c'est parce que ce rachat concrétise la chute de la barrière déjà ténue entre commerce en ligne et commerce physique. Cette incursion augure d'une révolution dans le commerce de détail. Une révolution dont on peine encore à dessiner les contours. Une chose est sûre cependant : ceux qui en tireront avantage seront ceux qui maîtriseront le mieux l'exploitation de la donnée.
Des freins persistants Malgré tout, certains acteurs du marché demeurent réticents à l'adoption d'une stratégie orientée par la donnée (data-driven). Les raisons peuvent être multiples et tiennent souvent davantage des habitudes ou de la difficulté à adopter une structure transversale. L'évolution se fera de toute manière de façon progressive, notamment dans les grands groupes. Elle n'en est pas moins urgente : les GAFAMI*, et à présent les NATU**, vont contraindre les entreprises à accélérer le rythme. En 2018, le succès d'une entreprise reposera sur une bonne exploitation de la donnée
Démocratiser le deep learning et l'analyse prédictive Le machine learning n'est déjà plus une option. C'est une discipline nécessaire, quand on sait l'impact immense qu'aura l'automatisation des tâches les plus chronophages sur la performance des entreprises. En 2018, la productivité sera directement liée à l'usage de l'intelligence artificielle et donc du machine learning. Dans le domaine de la banque, l'IA permet déjà aux conseillers de disposer plus rapidement des informations relatives à leurs clients. L'analyse prédictive en bénéficie également, puisque le machine learning permettra d'organiser l'information plus rapidement et plus efficacement. Libérés des tâches préalables à l'exercice de leurs compétences, les collaborateurs pourront se consacrer pleinement à leur métier propre. La compétitivité se joue aussi sur ce terrain-là.
Joindre les compétences liées à la donnée aux forces commerciales 2018 va certainement concrétiser le lien qui s'établit entre les data analysts et les équipes commerciales. Les données étant de plus en plus disponibles en temps réel, leur analyse a quitté ses quartiers isolés pour devenir plus opérationnelle. De plus, le machine learning ne se suffit pas encore à lui-même, car les modèles d'apprentissage doivent être adaptés à l'évolution du marché. Afin de tirer le meilleur avantage du machine learning et de l'exploitation des données en temps réel, data analysts et commerciaux sont appelés à travailler en synergie. 2017 a poussé les entreprises à être plus à l'écoute des changements rapides occasionnés par le Big Data. En 2018, elles devront prendre les devants plutôt que de suivre les changements, voire initier elles-mêmes les évolutions en se montrant plus innovantes et plus ingénieuses. ___ NOTES (*) Les géants du numérique ayant marqué cette décennie : Google, Amazon, Facebook, Microsoft et IBM. (**) Les nouveaux grands acteurs du numérique : Netflix, Airbnb, Tesla, Uber.
2018 va certainement concrétiser le lien qui s'établit entre les data analysts et les équipes commerciales. Les données étant de plus en plus disponibles en temps réel, leur analyse a quitté ses quartiers isolés pour devenir plus opérationnelle.
DATE-CHARGEMENT: 31 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
85 of 500 DOCUMENTS
Le Monde
31 janvier 2018 mercredi
Vie privée : Facebook s'adapte à la règle européenne
AUTEUR: Sandrine Cassini
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 8
LONGUEUR: 803 mots
ENCART: Alors qu'un nouveau règlement général entrera en vigueur le 25 mai, le réseau social s'attache à rassurer
Sous le feu des critiques, Facebook ne ménage pas sa peine pour reconquérir l'opinion publique. Une semaine après la tournée européenne de Sheryl Sandberg, à l'occasion de laquelle la directrice exécutive a formulé diverses promesses en matière d'investissements et de garanties offertes aux utilisateurs, le réseau social de Mark Zuckerberg continue de jouer les premiers de la classe.
Le 28 janvier, Erin Egan, sa responsable de la protection de la vie privée, a publié un message à l'intention des internautes intitulé " Nous vous donnons plus de contrôle sur votre vie privée ". Dans cette missive, la lobbyiste du géant de la Silicon Valley (Californie) donne le coup d'envoi d'une campagne " d'éducation " destinée à aider les internautes à " mieux comprendre " comment sont utilisées leurs données et à mieux les " gérer ", alors que le nouveau règlement général sur la protection des données (RGPD), qui renforce les obligations des entreprises en matière de vie privée, entrera en vigueur le 25 mai.
Actant qu'il n'est pas aisé pour ses membres de s'y retrouver dans la gestion de leur compte, Facebook a annoncé qu'il allait réunir au même endroit l'ensemble des outils de gestion des données personnelles des utilisateurs. Il leur rappelle aussi leurs droits, leur assurant qu'ils restent propriétaires de leurs données et peuvent à tout moment effacer leurs informations. Les membres ont en outre la possibilité de -contrôler qui regarde et partage leurs publications. Enfin, Facebook promet de garantir la sécurité des informations et reconnaît en être le responsable auprès des régulateurs. Des vidéos d'information à destination des internautes seront diffusées sur le réseau social.
La firme de Menlo Park, qui s'était battue contre le nouveau règlement européen, se mettrait-elle à laver plus blanc que ses concurrents ? Pour le moment, malgré les annonces, elle ne s'est pas encore mise en conformité avec la nouvelle réglementation.
Parcours du combattant
" On en reste au stade des grands principes. Facebook rappelle la loi sans dire comment cela se traduira concrètement ", analyse l'avocat en propriété intellectuelle Matthieu Berguig. Ainsi, bien que -Facebook affirme que chacun peut supprimer son profil, l'opération relève encore du parcours du combattant. Le procédé sera-t-il simplifié ? Silence radio pour le moment sur le sujet. Autre inconnue : Facebook sera censé permettre aux internautes de récupérer facilement leurs données, afin qu'ils puissent les utiliser sur une autre plate-forme. Ce principe de portabilité, qui représente l'un des plus gros changements dans la réglementation, n'est pas évoqué sur le blog d'Erin Egan.
Il faut dire que, pour Facebook, les nouvelles règles européennes vont à l'encontre de son modèle reposant sur la publicité ciblée et, partant, l'exploitation des informations des internautes à grande échelle. " Par défaut, le profil Facebook de l'utilisateur est public, alors que, selon ces règles, il n'est censé être visible que par les amis ", souligne Matthieu Berguig. De même, d'après le nouveau cadre, " l'internaute pourra se prémunir contre le profilage ", qui repose sur l'analyse de ses données.
Signe encourageant, le réseau social a franchi une étape importante en affirmant publiquement qu'il tiendrait compte des règles imposées par Bruxelles. " A l'origine, Facebook n'avait pas forcément en tête qu'il devrait appliquer une réglementation européenne. Ils ont réalisé qu'ils devraient en passer par là ", observe Sophie Nerbonne, directrice de la conformité au sein de la Commission nationale de l'informatique et des libertés (CNIL). De fait, à partir du 25 mai, le gardien des données personnelles pourra commencer à effectuer des contrôles de manière à s'assurer que le RGPD est bien respecté.
En premier lieu, il a prévu d'examiner le cas des géants américains tels que Facebook, Google ou encore Amazon. " Une attention particulière sera portée aux grandes plates-formes du numé-rique du fait du nombre très important d'utilisateurs et de données traitées ", confirme Sophie Nerbonne.
Ce n'est pas la première fois que Facebook se montre conciliant à l'égard des autorités et du public. " Depuis 2006, c'est la même stratégie : Facebook pousse à l'extrême l'exploitation des données, puis, lorsque la résistance est trop forte, Mark Zuckerberg publie des -excuses publiques et revient en arrière ", relève Antonio Casilli, -enseignant-chercheur à Télécom ParisTech. Ce spécialiste des -réseaux sociaux rappelle qu'en 2010, Mark Zuckerberg annonçait la fin de la vie privée. Volte-face trois ans plus tard, avec les révélations du lanceur d'alerte Edward Snowden sur l'espionnage de masse. Plus question alors de jouer avec les données personnelles des internautes. " Là, Facebook referme ce cycle entamé en 2013 ", conclut Antonio Casilli.
DATE-CHARGEMENT: 30 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Monde Interactif
Tous Droits Réservés
86 of 500 DOCUMENTS
Le Cercle
mercredi 31 janvier 2018
RGPD et assurance : le temps des ruptures stratégiques est venu
AUTEUR: Jean-Louis Davet
RUBRIQUE: ARTICLE; Les enjeux géostratégiques.
LONGUEUR: 1321 mots
ENCART: En ce début d'année se multiplient des vagues d'alertes aux relents millénaristes : "RGPD : mai 2018, serez-vous prêts ?", "assureurs, où en êtes-vous ?"... Si nombre d'acteurs se sont emparés de la problématique un peu tardivement, la principale menace est moins celle d'une préparation trop tardive que celle d'un aveuglement provoqué par une focalisation sur les seuls aspects de mise en conformité.
La dernière réglementation européenne structurante pour le secteur de l'assurance, Solvabilité 2 (S2), avait en son temps suscité les mêmes envolées anxiogènes durant le compte à rebours final. Il existe nombre d'analogies entre ces deux textes. Les efforts d'entrée sous S2 ont essentiellement porté sur la mise en conformité aux textes. Devons-nous allouer notre énergie et structurer nos programmes dans le même esprit pour ce qui va concerner le RGPD, nouveau règlement européen sur la protection des données personnelles ?
Les PIA (protection impact assessment) du RGPD, par exemple, font écho aux démarches d'ORSA (own risk solvency assessment) de S2 où chaque processus de décision stratégique ou opérationnel significatif doit intégrer une analyse d'impact sur la solvabilité de l'assureur. La nouvelle fonction de DPO (data protection officer) renvoie aux notions des quatre "fonctions clés" imposées par S2 (actuariat, gestion des risques, audit, conformité).
Dans les deux textes, l'esprit de transparence due à l'individu (utilisateur, client, assuré, etc.) pour le protéger, soit dans sa vie privée, soit face au risque que l'assureur ne puisse tenir ses engagements financiers, est mis en exergue et fait l'objet de procédures strictes ou de rapports. Les menaces financières de la non-conformité sont dans les deux cas pour le moins significatives : jusqu'à 4 % du chiffre d'affaires groupe pour le RGPD, et l'épée de Damoclès du fameux "add-on" pour S2, latitude donnée au régulateur d'imposer une exigence supplémentaire en capital, qu'il évaluera en fonction de sa propre appréciation du risque encouru par l'assureur.
Mais des différences fondamentales tracent la perspective d'un choc RGPD encore plus déterminant à terme que celui de S2 sur les grands équilibres du secteur.
Les enjeux géostratégiques.
Dès l'exposé de ses motifs, S2 affichait ses ambitions d'ordre géostratégique : renforcer l'intégration du marché européen, renforcer la compétitivité des assureurs et réassureurs européens au niveau international. Les principaux enjeux liés à des réglementations distinctes entre l'Europe et les autres zones du monde concernaient notamment des divergences entre les exigences en capital demandées, créant une distorsion de concurrence entre assureurs mondiaux en compétition globale.
Le RGPD fixe d'une part des contraintes nouvelles aux opérateurs numériques de tous pays (au premier rang desquels les GAFAM et BATX) opérant en direction de résidents européens.
Il définit d'autre part un positionnement européen sur la privacy et l'éthique, qui tranche profondément avec les notions en vigueur aux États unis ou en Chine, et constitue en lui-même un élément d'intégration du marché européen, et un élément différenciant sur le marché mondial : une vision où transparence et confiance sont des facteurs de compétitivité économique et non des freins à l'innovation.
Ces considérations sont loin d'être neutres pour l'assurance. Nous sommes nombreux à estimer que l'assurance doit profondément se transformer pour évoluer du dédommagement financier vers des services personnalisés. La valeur de ces services dépendra de l'accessibilité des opérateurs aux données personnelles des individus, services qui seront inventés et mis en oeuvre dans un monde numérique dont les règles sont en cours de construction. Quel pourrait être l'avenir de l'assurance européenne si cette transformation s'opérait sur un échiquier où champions et règles numériques étaient exclusivement à la main des puissances américaines et chinoises ?
La remise en cause des règles du jeu concurrentiel intra et intersecteurs.
S2 a influé sur la structuration du secteur de l'assurance : rapprochements pour faire face aux nouvelles exigences de capital ou pour réduire les coûts de la conformité, émergence de nouvelles structures juridiques tels que les groupes "prudentiels", diversification des activités pour profiter des réductions d'exigence de capital générées par les nouvelles règles de calcul, réallocations en matière d'actifs, etc. Les règles du jeu n'ont pas pour autant été radicalement bouleversées.
Le RGPD a contrario concerne tous les secteurs d'activité, et introduit en chacun d'eux non seulement de profonds bouleversements, mais aussi d'extraordinaires opportunités et la perspective de tout nouveaux types de marchés.
Les dispositions liées à la portabilité des données exacerbent la concurrence, mais aussi ouvrent la voie à de nouveaux entrants et de nouveaux types d'acteurs, tels les PIMS (personal information management systems). En s'appuyant sur le RGPD, ces agrégateurs de données personnelles, organiseront, pour le compte des individus, la récupération des données auprès des fournisseurs d'énergie, télécoms, assureurs, e-commerce, réseaux sociaux, etc., et pourront notamment faciliter le churn. Ils pourront alors tenter d'accaparer la richesse du contact privilégié avec l'individu, reléguant par exemple ses différents assureurs à des rôles de sous-traitants de second rang pouvant aisément être changés.
La portabilité des données personnelles accélèrera la pulvérisation des frontières entre secteurs, d'ores et déjà amorcée, car inhérente à l'économie numérique. S2 posait la question de l'attractivité de l'assurance pour les actionnaires. Avec le RGPD, l'enjeu du détournement d'un secteur à l'autre concerne aussi les assurés eux-mêmes.
Le domaine "sensible" de la santé.
Le RGPD souligne la spécificité et le caractère "sensible" (donc soumises à contraintes renforcées) des données personnelles de santé et en adopte une définition large : données qui révèlent des informations sur l'état de santé, passé, présent ou futur d'une personne. Dans un contexte technologique et médical où les capacités de "révéler" des informations progressent à une vitesse fulgurante, la notion de donnée de santé devient elle-même fortement évolutive. Les acteurs concernés devront ainsi se préparer à de fortes évolutions de leurs process, à la confrontation avec la multiplication d'acteurs à même de générer ou de gérer des données dites "de santé" et à des modifications des règles du jeu encore complexifiées par rapport à celles précédemment évoquées.
La perturbation des référentiels
Si S2 a généré de profondes transformations dans les organisations et la gouvernance des entreprises d'assurance, le RGPD vient percuter de plein fouet la perception et le rôle de la donnée au sein des business model, en termes de capacité d'exploitation et de valeur. La culture traditionnelle d'une donnée jalousement gardée se heurte aux business model du numérique où la valeur de la donnée est le plus souvent considérablement amplifiée par son partage.
La déferlante annoncée.
15 ans de gestation pour S2, un record. Seulement 4 ans pour le RGPD. Les règles du monde numérique dans lequel évoluent les assureurs se restructurent beaucoup plus vite que celles de sa sphère financière. La vitesse de transformation des technologies et usages liés au numérique est un défi aux process d'adaptation des entreprises. Le RGPD n'est que la première vague d'un déferlement de textes réglementaires et législatifs qui se répondront, s'entrechoqueront ou se complèteront respectivement : directive e-privacy, stratégie Digital Single Market, lignes directrices de la Commission européenne sur les algorithmes, les contenus des plateformes en lignes, etc. Sans compter pour la France les lois bioéthiques en ce qui concerne les données de santé. Les opérateurs devront ainsi faire preuve d'anticipation, d'agilité et de continuité dans leur mobilisation.
C'est bel et bien un véritable "dataclysme" qui s'annonce.
Quels que soient les contraintes et le coût financier de la mise en oeuvre des dispositifs de conformité requis par le RGPD, le coût stratégique lié à une mauvaise appréciation des enjeux fondamentaux pourrait se révéler bien supérieur. Tant au niveau micro-économique de l'entreprise qu'au niveau macro-économique européen.
DATE-CHARGEMENT: 1 février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
87 of 500 DOCUMENTS
Les Echos
mercredi 31 janvier 2018
La grande bataille des données a commencé
AUTEUR: GASPARD KOENIG
RUBRIQUE: CHRONIQUE; Pg. 11 N°. 22625
LONGUEUR: 748 mots
Les Gafa sont sous le feu des critiques. A Davos, George Soros a condamné le monopole de fait qu'exercent Facebook et Google. L'accaparement des données personnelles par un petit nombre d'acteurs menace les principes mêmes de la société ouverte en ôtant peu à peu aux citoyens leur autonomie cognitive. En cliquant tous les jours sur des « conditions d'utilisation » illisibles et non négociables (selon une étude de Carnegie Mellon University, un Américain moyen en signe près de 1.500 par an, ce qui correspondrait à 76 jours de lecture), nous nous dépossédons d'une partie non négligeable de notre personnalité. Agrégées, exploitées et souvent revendues en échange d'une gratuité illusoire, nos data nourrissent des circuits économiques pour qui nous sommes à la fois matière première, produit et consommateur.
Face à ce constat désormais largement partagé, il est fascinant de voir réapparaître les différentes écoles de philosophie politique.
Les utilitaristes, qui triomphent aujourd'hui dans la Silicon Valley, plaident pour le statu quo. Si l'objectif est de maximiser le bien-être collectif, alors la centralisation des data ne peut qu'améliorer l'efficacité des processus. Après tout, nous bénéficions de services sans précédent à des prix dérisoires, le ciblage publicitaire affine en continu la qualité des offres et la subtile organisation des réseaux sociaux nous dispense d'entendre des opinions contradictoires : de quoi se plaint-on ? D'où l'idée, formulée sans rire par le patron de Criteo, d'établir un « consentement universel » au pillage de nos données.
Les socialistes, quant à eux, ont davantage conscience de la dissymétrie du rapport de force et y répondent par leur formule habituelle : l'impôt et la redistribution. Voilà pourquoi un hiérarque du PS a pu proposer récemment de taxer les Gafa pour reverser 50.000 euros à chaque Français à sa majorité. Il faudrait en un sens dédommager les citoyens de leur travail de production de data - de manière uniforme et égalitaire, sans se soucier de la diversité des préférences individuelles et au risque d'engraisser encore davantage l'Etat providence.
Les souverainistes ne l'entendent pas de cette oreille : ce n'est pas une question d'argent mais d'indépendance nationale. D'où l'exigence d'une « souveraineté numérique » portée notamment par Pierre Bellanger. Considérées comme un bien commun, nos données seraient nationalisées au sein d'une « agence nationale des données », qui, en retour, garantirait leur confidentialité et déciderait de leur allocation optimale entre acteurs privés et publics. Il faut avoir une sacrée confiance dans l'Etat-nation pour mettre ainsi à sa disposition notre identité complète.
Les sociaux-démocrates, plus pointilleux sur la question des libertés, estiment que la protection de la personne ainsi que le respect des droits fondamentaux suffiraient à rétablir l'équilibre. C'est toute la logique durèglement général sur la protection des données (RGPD), aujourd'hui à l'étude au Parlement français. Le citoyen numérique se voit attribuer davantage de droits (droit à l'oubli, portabilité des données, etc.) tandis que les plates-formes devront respecter des obligations strictes (pour la sécurisation des données, la minimisation de leur traitement, etc). Le risque d'une telle approche est defreiner l'innovation en interférant avec les processus internes des entreprises.
Enfin, les libéraux, parmi lesquels je me compte, imaginent une solution fondée sur la propriété privée et la rémunération du capital. Si chacun disposait formellement d'un droit de propriété sur ses données personnelles, nous pourrions en disposer librement (usus), les transférer ou les détruire à notre convenance (abusus), ou également les céder au prix du marché (fructus). Dans ce dernier cas, c'est Facebook qui devrait nous payer ! Le contrôle de la donnée serait ainsi décentralisé et rendu à son producteur originel, une blockchain suffisant à valider les transactions. Ce mécanisme est défendu depuis plusieurs années par la grande figure libertaire de l'Internet qu'est Jaron Lanier,à la fois dans son livre « Who Owns the Future ? » (2013) et dans un récent papierde recherche cosigné avec des universitaires de Stanford. De quoi remettre sur ses pieds (et dans nos poches) la chaîne de valeur de l'économie numérique.
Qui a dit que les idéologies étaient mortes ? Les voilà plus vives et plus nécessaires que jamais pour traiter des grandes questions de l'âge numérique.
DATE-CHARGEMENT: 31 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
88 of 500 DOCUMENTS
Acteurs publics
30 janvier 2018
Protection des données : les pouvoirs de la Cnil consolidés par les députés
RUBRIQUE: ACTUALITES
LONGUEUR: 953 mots
La Commission nationale de l'informatique et des libertés (Cnil) sort renforcée de l'examen parlementaire du projet de loi relatif à la protection des données personnelles. Mardi 23 janvier, les députés de la commission des lois ont adopté une série d'amendements élargissant notamment sa possibilité de saisine au Parlement et le champ des compétences nécessaires pour intégrer son collège.
Présenté en Conseil des ministres le 13 décembre dernier et en débat en séance publique à compter du 6 février, le projet de loi en question adapte au droit de l'Union européenne (UE) la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Ce cadre juridique européen - surnommé "paquet européen de protection des données" - se compose d'un règlement (le RGPD) et d'une directive directement applicable dans les États de l'union à compter du 25 mai 2018. La course contre la montre est donc engagée, le projet de loi français et ses décrets d'application devant en effet entrer en vigueur avant cette échéance.
Saisines par les commissions permanentes
Dans le détail, les députés de la commission des lois ont notamment approuvé un amendement offrant la possibilité pour les commissions permanentes de l'Assemblée nationale et du Sénat de saisir la Cnil sur toute proposition de loi relative à la protection des données personnelles.
Déposée par la rapporteure du projet de loi, la députée LREM Paula Forteza, cette nouvelle disposition vient en compléter une autre, prévue par l'exécutif dans son texte initial, qui autorise les présidents des deux chambres à saisir l'autorité administrative.
Pour "éviter que des textes législatifs qui affectent les droits et libertés numériques soient adoptés dans la hâte et sans réelle expertise technique", les députés de La France insoumise (LFI) souhaitaient quant à eux élargir le bénéfice de ce dispositif à tous les parlementaires. En vain, son amendement sur le sujet ayant en effet été rejeté par la commission des lois. "Votre proposition va un peu trop loin : la Cnil n'aura pas les moyens de répondre à la saisine de chaque député ou sénateur", a justifié Paula Forteza.
Ce n'est pas la première fois que cette question de la saisine par les députés et sénateurs revient sur le tapis parlementaire. Lors de l'examen en 2016 du projet de loi pour une République numérique, l'ouverture de la saisine de la Cnil aux présidents de l'Assemblée nationale ou du Sénat (voulue par les députés sur proposition du gouvernement) avait été supprimée du texte par les locataires du Palais du Luxembourg. Ce "dispositif n'apparaît pas pertinent, jugeait le rapporteur du texte d'alors, le sénateur LR Christophe-André Frassa. La Cnil est, contrairement au Conseil d'État, une autorité administrative indépendante régulièrement consultée par les commissions permanentes sans qu'il ne soit nécessaire de prévoir un avis formalisé".
Procédures strictes de nomination
En commission, les députés ont également modifié le champ des compétences requises pour intégrer le collège de la Cnil, où siègent 18 membres élus ou désignés par le gouvernement, les juridictions, les assemblées parlementaires et leurs présidents.
Ainsi, les 5 personnalités qualifiées nommées en son sein par le gouvernement et les présidents de l'Assemblée nationale et du Sénat (3 pour l'exécutif et 1 pour chaque président de chambre) devront dorénavant être choisies en fonction "de leur connaissance du numérique et des questions touchant aux libertés individuelles". Le gouvernement souhaitait quant à lui que leur choix se fasse en fonction de l'un ou de l'autre de ces critères et non des deux.
Sur ces procédures de nomination, les députés de La France insoumise entendaient, là encore, aller beaucoup plus loin en obligeant les autorités présentant des candidats au collège de la Cnil à dévoiler une évaluation de leurs compétences en fonction d'un barème allant de 1 à 10. L'amendement déposé en ce sens est finalement tombé.
Pas de contrôle des fichiers de sécurité
Autre fait notable : la rapporteure Paula Forteza a retiré l'un de ses amendements qui prévoyait de confier à la Cnil un pouvoir de contrôle des fichiers relatifs à la sécurité de la nation parmi lesquels ceux des directions générales de la sécurité intérieure (DGSI) et de la sécurité extérieure (DGSE), le fichier de la direction du renseignement militaire (DRM) ou encore celui dénommé "Gestion du terrorisme et des extrémismes violents" (Gesterext) mis en oeuvre par la préfecture de police.
"ll n'existe, à l'heure actuelle, aucun contrôle en aval de ces fichiers, permettant de garantir qu'ils sont mis en oeuvre dans le respect de la protection des données personnelles et des textes applicables en la matière, auxquels ils sont pourtant soumis, expliquait-elle. Il est impossible, par exemple, de savoir s'ils respectent effectivement les prescriptions fixées par les textes réglementaires qui les créent (finalités, catégories de données, durée de conservation)."
Les garanties "sont suffisantes", via notamment la Commission nationale de contrôle des techniques de renseignement (CNCTR), a répondu en réunion la ministre de la Justice, Nicole Belloubet, tout en affirmant que le renforcement du pouvoir de contrôle a posteriori de la Cnil "sur ces traitements risquerait de fragiliser considérablement leur alimentation et leur fonctionnement". Selon la garde des Sceaux, cela porterait également "atteinte au secret des modalités d'action des services de renseignement et, d'autre part, l'échange de renseignements entre les services français et ceux des autres États pourrait être freiné par la crainte des services étrangers que les renseignements confidentiels qu'ils partagent puissent être communiqués à des tiers".
DATE-CHARGEMENT: 30 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Société d'édition publique
Tous droits resérvés
89 of 500 DOCUMENTS
Le Monde.fr
Mardi 30 Janvier 2018
Vie privée : Facebook veut rassurer les internautes... et le régulateur
AUTEUR: Sandrine Cassini
LONGUEUR: 823 mots
Sous le feu des critiques, Facebook ne ménage pas sa peine pour reconquérir l'opinion publique. Une semaine après la tournée européenne de Sheryl Sandberg, à l'occasion de laquelle la directrice exécutive a formulé diverses promesses en matière d'investissements et de garanties offertes aux utilisateurs, le réseau social de Mark Zuckerberg continue de jouer les premiers de la classe.
Le 28janvier, Erin Egan, sa responsable de la protection de la vie privée, a publié un message à l'intention des internautes intitulé «Nous vous donnons plus de contrôle sur votre vie privée». Dans cette missive, la lobbyiste du géant de la Silicon Valley (Californie) donne le coup d'envoi d'une campagne «d'éducation» destinée à aider les internautes à «mieux comprendre» comment sont utilisées leurs données et à mieux les «gérer», alors que le nouveau règlement général sur la protection des données (RGPD), qui renforce les obligations des entreprises en matière de vie privée, entrera en vigueur le 25mai.
Actant qu'il n'est pas aisé pour ses membres de s'y retrouver dans la gestion de leur compte, Facebook a annoncé qu'il allait réunir au même endroit l'ensemble des outils de gestion des données personnelles des utilisateurs. Il leur rappelle aussi leurs droits, leur assurant qu'ils restent propriétaires de leurs données et peuvent à tout moment effacer leurs informations.
Les membres ont en outre la possibilité de contrôler qui regarde et partage leurs publications. Enfin, Facebook promet de garantir la sécurité des informations et reconnaît en être le responsable auprès des régulateurs. Des vidéos d'information à destination des internautes seront diffusées sur le réseau social.
«Au stade des grands principes»
La firme de Menlo Park, qui s'était battue contre le nouveau règlement européen, se mettrait-elle à laver plus blanc que ses concurrents? Pour le moment, malgré les annonces, elle ne s'est pas encore mise en conformité avec la nouvelle réglementation.
«On en reste au stade des grands principes. Facebook rappelle la loi sans dire comment cela se traduira concrètement», analyse l'avocat en propriété intellectuelle Matthieu Berguig. Ainsi, bien que Facebook affirme que chacun peut supprimer son profil, l'opération relève encore du parcours du combattant. Le procédé sera-t-il simplifié? Silence radio pour le moment sur le sujet.
Autre inconnue: Facebook sera censé permettre aux internautes de récupérer facilement leurs données, afin qu'ils puissent les utiliser sur une autre plate-forme. Ce principe de portabilité, qui représente l'un des plus gros changements dans la réglementation, n'est pas évoqué sur le blog d'Erin Egan.
Il faut dire que, pour Facebook, les nouvelles règles européennes vont à l'encontre de son modèle reposant sur la publicité ciblée et, partant, l'exploitation des informations des internautes à grande échelle. «Par défaut, le profil Facebook de l'utilisateur est public, alors que, selon ces règles, il n'est censé être visible que par les amis», souligne Matthieu Berguig. Facebook précise que ce principe de fonctionnement a été modifié il y a longtemps et que les profils sont privés par défaut. De même, d'après le nouveau cadre, «l'internaute pourra se prémunir contre le profilage», qui repose sur l'analyse de ses données.
Une étape importante
Signe encourageant, le réseau social a franchi une étape importante en affirmant publiquement qu'il tiendrait compte des règles imposées par Bruxelles. «A l'origine, Facebook n'avait pas forcément en tête qu'il devrait appliquer une réglementation européenne. Ils ont réalisé qu'ils devraient en passer par là», observe Sophie Nerbonne, directrice de la conformité au sein de la Commission nationale de l'informatique et des libertés (CNIL). De fait, à partir du 25mai, le gardien des données personnelles pourra commencer à effectuer des contrôles de manière à s'assurer que le RGPD est bien respecté.
En premier lieu, il a prévu d'examiner le cas des géants américains tels que Facebook, Google ou encore Amazon. «Une attention particulière sera portée aux grandes plates-formes du numérique du fait du nombre très important d'utilisateurs et de données traitées», confirme Sophie Nerbonne.
Ce n'est pas la première fois que Facebook se montre conciliant à l'égard des autorités et du public. «Depuis 2006, c'est la même stratégie: Facebook pousse à l'extrême l'exploitation des données, puis, lorsque la résistance est trop forte, Mark Zuckerberg publie des excuses publiques et revient en arrière», relève Antonio Casilli, enseignant-chercheur à Télécom ParisTech.
Ce spécialiste des réseaux sociaux rappelle qu'en2010, Mark Zuckerberg annonçait la fin de la vie privée. Volte-face trois ans plus tard, avec les révélations du lanceur d'alerte Edward Snowden sur l'espionnage de masse. Plus question alors de jouer avec les données personnelles des internautes. «Là, Facebook referme ce cycle entamé en2013», conclut Antonio Casilli.
DATE-CHARGEMENT: 30 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Monde
Tous droits réservés
90 of 500 DOCUMENTS
Les Echos
mardi 30 janvier 2018
Pourquoi l'intelligence artificielle divise les opinions mondiales
AUTEUR: BENOIT GEORGES
RUBRIQUE: ARTICLE; La France plus frileuse; Pg. 12 N°. 22624
LONGUEUR: 1030 mots
ENCART: Une étude BETC sur l'acceptation des technologies à travers le monde montre le fossé qui sépare les pays occidentaux, souvent frileux, de la Chine, très enthousiaste, sur l'intelligence artificielle ou les objets connectés.
Internet, les réseaux sociaux et l'intelligence artificielle peuvent avoir un impact sur la planète entière, mais le regard que nous portons sur eux varie grandement d'un pays à l'autre. C'est ce qui ressort d'une étude sur l'acceptation des technologies numériques dévoilée ce mardi par l'agence de communication BETC. Intitulée « iLife - bienvenue dans la vie sous algorithmes », cette enquête a été menée courant 2017 auprès de plus de 12.000 personnes dans 32 pays. Réalisée chaque année, l'étude sert habituellement à capter les différences d'opinion sur un grand nombre de sujets entre les consommateurs classiques (« mainstream ») et les plus avant-gardistes, ce qui préfigure les tendances de demain - que l'agence appelle « prosumers » (« professional consumers »). Mais, concernant le numérique, l'édition 2018 met surtout en lumière une fracture, plus grande encore, entre l'opinion publique des pays occidentaux et celle de l'Asie, et en particulier de la Chine.
La France plus frileuse
Le fossé est particulièrement marqué pour les questions liées à l'intelligence artificielle. A la question « Pensez-vous que l'intelligence artificielle fera progresser l'humanité », 78 % des « prosumers » et 60 % des consommateurs « mainstream » en Chine répondent par l'affirmative. Cette idée n'est partagée que par 36 % et 25 % des sondés en France ou 46 % et 30 % aux Etats-Unis, pays d'où viennent pourtant les principales entreprises à la pointe de l'IA aujourd'hui. Une France (et même une Europe) plutôt inquiète vis-à-vis de l'intelligence artificielle et des technologies numériques, une Amérique du Nord un peu moins réticente et une Chine très largement enthousiaste : le constat n'est pas surprenant en soi, mais la succession des questions posées par BETC illustre l'ampleur de la fracture. Ainsi, 64 % des consommateurs chinois pensent que l'intelligence artificielle « nous libérera des tâches répétitives et nous donnera plus de temps pour profiter de la vie », contre seulement 33 % des Français, 36 % des Britanniques ou 31 % des Américains.
Les Chinois sont aussi les plus nombreux à penser que l'IA « créera des emplois que nous n'imaginons pas encore » (50 %) et les moins nombreux (29 %) à penser qu'elle « laissera des millions de personnes sans travail ». Le pouvoir chinois, qui, dans son plan stratégique pour l'intelligence artificielle publié l'été dernier, vise ouvertement la première place mondiale d'ici à 2025, peut visiblement compter sur le soutien de la population. Les Chinois sont aussi, selon l'étude, nettement plus enclins à accepter que les algorithmes et les objets connectés décident pour eux : 62 % d'entre eux (et 80 % des prosumers chinois) aimeraient ainsi que leur frigo connecté commande les courses à leur place. Les sondés sont également une majorité, en Chine comme en Inde, à avoir envie que leurs proches puissent les géolocaliser à tout moment grâce à leur smartphone - une idée qui n'intéresse que 34 % des Américains et 16 % des Français.
Inquiétude sur les données
« La Chine et, dans une moindre mesure, l'Inde témoignent d'une plus grande appétence aux nouveautés technologiques parce qu'elles assimilent le digital au progrès, analyse Olivier Vigneaux, président de BETC Digital, qui utilise cette étude pour conseiller ses clients sur leur stratégie numérique. Cela veut dire que les marques peuvent se permettre d'aller plus loin dans le digital sur les marchés asiatiques car l'accueil sera plus positif qu'en Europe. Chez nous, il y a plus de conservatisme parce que nous pensons que nous avons plus à y perdre qu'à y gagner. »
Il y a cependant un point sur lequel les opinions des différents pays se rejoignent : l'inquiétude quant à l'usage qui est fait de leurs données personnelles. Que ce soit en France, en Chine, aux Etats-Unis ou en Inde, environ 70 % des personnes interrogées par BETC se disent « inquiètes de ne pas savoir ce que les entreprises font de leurs données et informations personnelles ». Et elles sont moins d'un quart, dans la plupart des pays, à affirmer qu'elles « ne s'intéressent pas à ce que les entreprises font » de leurs données, du moment qu'elles obtiennent « des services ou des produits gratuits en retour. »
Pour Olivier Vigneaux, il s'agit d'une rupture importante dont les marques doivent prendre conscience. « Les gens ont toujours déclaré qu'ils se préoccupaient de leurs données, mais le désir qu'ils avaient d'accéder aux services rendus par un Google ou un Facebook était jusqu'à présent plus fort que leurs craintes. » Ce n'est plus le cas aujourd'hui, et le président de BETC Digital estime que le mouvement va s'accroître. « C'est pourquoi nous conseillons désormais à nos clients d'être le plus transparent et le plus pédagogue possible vis-à-vis des utilisateurs, afin de recréer de la confiance. » Le nouveau règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai prochain, apparaît donc comme le reflet d'une préoccupation désormais mondiale.
Réseaux sociaux : la fin de la fascination
Dans le passé, les médias sociaux rapprochaient les gens ; aujourd'hui, ils les divisent. Le constat peut sembler féroce, mais il est partagé par 46 % des consommateurs au niveau mondial. La partie de l'étude iLife consacrée aux réseaux sociaux illustre une prise de conscience forte des limites des réseaux sociaux, il est vrai, pointés du doigt de plus en plus régulièrement depuis l'élection de Donald Trump. Près d'une personne interrogée sur deux, y compris en Chine, estime ainsi que les réseaux sociaux réduisent notre capacité à penser de façon critique.
« Avec les médias sociaux, on est passé de l'âge de la fascination à l'âge de la maturité, analyse Marianne Hurstel, vice-présidente de BETC, chargée de la stratégie. Quand les gens disent eux-mêmes que les réseaux sociaux les enferment dans des bulles, cela signifie qu'ils sont assez clairement conscients du problème. »
Dans le même temps, les personnes interrogées sont une majorité à affirmer que les réseaux sociaux « nous donnent le pouvoir de soutenir des causes importantes »et qu'ils « permettent à des gens ordinaires de s'unir pour faire changer les choses ».
DATE-CHARGEMENT: 30 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
91 of 500 DOCUMENTS
Challenges.fr
lundi 29 janvier 2018 7:15 AM GMT
Données sur Facebook : "I want my money back"
AUTEUR: Delphine Granier
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 616 mots
ENCART: Pour rééquilibrer les relations entre utilisateurs et géants du net, il faut aller plus loin que le règlement européen sur la protection des données personnelles en permettant à lutilisateur dêtre maître de ses données et en soumettant les opérateurs à une TVA
Mauvaise semaine pour les "Big Tech". Devant le parterre de chefs dentreprises réunis à Davos cette semaine, Emmanuel Macron ne les a pas épargnés. Porteurs de "nouvelles inégalités", accusés "doptimisation fiscale à tous crins", responsables dun "système injuste"... Google, Facebook et les autres géants du numérique nont pas dû "liker".Le temps de la bienveillance à légard des GAFA et autres entreprises du Net sera-t-il bientôt révolu ?
Le leurre de la gratuité
Si le nombre dutilisateurs reste stable, la confiance dans les entreprises du net dégringole. Selon un baromètre Ipsos réalisé en 2016, 88% des utilisateurs se disaient dérangés par lexploitation de leurs données personnelles, considérées comme des informations relevant de "leur intimité personnelle". Dans un autre contexte, serions-nous prêts à céder, sans complexe et sans raison précise, des informations intimes nous concernant à des entreprises privées ? Cest pourtant ce que nous faisons tous les jours sur un réseau social comme Facebook, bernés par le leurre de la gratuité.
Alors comment rééquilibrer les relations entre utilisateurs et géants du net ? Cest le sens du débat ouvert par le conseiller dIle-de-France Julien Dray en proposant, sans surprise, de taxer les GAFA pour verser à chaque jeune le jour de ses 18 ans une "dotation universelle" de 50.000 euros, rétribution symbolique de son travail dalgorithme. Cest surtout lenjeu du Règlement européen sur la protection des données personnelles (RGPD) qui entrera en vigueur au mois de mai prochain et confère davantage de droits au citoyen numérique concernant ses données ; et prévoit plus dobligations à la charge des entreprises en matière de protection des données.
Redonner le pouvoir à lindividu
Létape franchie par le RGDP est un progrès. Mais devrions-nous nous contenter de nouveaux droits dans lusage et lappropriation de nos données ? Sommes-nous condamnés à faire tourner le business model dentreprises privées sans être rétribués ? En plus de lusus et labusussur nos données, réclamons le fructus ! Ainsi nous aurions la pleine propriété de nos données et nous pourrions en tant que générateurs de ces données - donc fournisseurs de la matière première des géants du net - être rémunérés.
Cest lidée que nous défendons au sein du Think tank GenerationLibre. Aller plus loin que le RGDP en rendant à chacun la propriété de ses données. Cela renverse le rapport de force avec les GAFA : je deviens, en tant quutilisateur, maître de mes données. Soit je tiens à mon intimité et je ferai le choix de payer le service rendu par Facebook (ou autre) pour préserver mes données. Soit je préfère vendre mes données à Facebook (ou autre) et serai alors rémunéré. Dans les deux cas, cest moi qui décide. Cela met fin au "retargeting" publicitaire subi : les tentations intempestives dachat en tous genres disparaîtront de nos écrans. Cela nous sort de la "filter bubble" : nayant plus accès à nos données, Amazon naura plus les moyens de nous "enfermer" dans une sorte de "bulle" personnalisée où les produits que lon nous donne à voir sont forcément liés à nos achats passés...
Du point de vue des entreprises, cette contractualisation permettra déviter une judiciarisation croissante des relations entre utilisateurs et entreprises.Enfin, du point de vue des Etats, cest une façon habile de les empêcher déchapper totalement à la fiscalité : lachat de données par les plateformes constituant une transaction à valeur ajoutée, les auteurs de la proposition portée par GenerationLibre proposent de soumettre les opérateurs - en loccurrence les GAFA - à la TVA. Une idée qui devrait inspirer notre président pourfendeur de la malhonnêteté fiscale des GAFA...
DATE-CHARGEMENT: January 29, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2018 Challenges
tous droits réservés
92 of 500 DOCUMENTS
Le Figaro Online
lundi 29 janvier 2018 06:56 PM GMT
Et si les citoyens étaient rémunérés pour leurs données personnelles ?
AUTEUR: Elsa Trujillo; etrujillo@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 854 mots
ENCART: Un rapport du think-tank GénérationLibre, emmené par Gaspard Koenig, propose de redonner aux internautes le contrôle sur leurs données personnelles et leur permettre d'en vendre certaines.
Entre les internautes et les services proposés par les géants du web, la relation est encore loin d'être donnant-donnant. Manne financière considérable pour des acteurs comme Google, Apple, Facebook ou encore Amazon, les données personnelles - parfois intimes - diffusées en ligne ne rapportent pas grand-chose à leurs fournisseurs, si ce n'est la possibilité d'utiliser gratuitement un service. Partant de ce constat, le think-tank libéral GénérationLibre, présidé par Gaspard Koenig, a dévoilé le 25 janvier plusieurs propositions pour rééquilibrer la balance. Le principe: redonner aux citoyens la main sur leurs données personnelles en leur permettant de les vendre en ligne et de choisir celles qu'ils veulent préserver, sous réserve de payer des services jusqu'alors gratuits.
L'idée, soutenue par le scientifique et essayiste américain Jaron Lanier dès 2012, trouve un regain d'intérêt à l'heure où des comportements de résistance face aux grands acteurs du Web montent en puissance. Les solutions alternatives et plus respectueuses de la vie privée de leurs utilisateurs, à l'image de Cozy Cloud ou du réseau social Whaller, conquièrent de nouveaux clients. Les États eux-mêmes s'inquiètent des dérives des GAFA (Google, Apple, Facebook, Apple) en matière d'exploitation des données personnelles de leurs citoyens. L'Allemagne réfléchit actuellement à limiter les données utilisées par Facebook, rapporte le Financial Times ce 25 janvier.
Un amendement en préparation
Le modèle de rémunération avancé par GénérationLibre implique une mise en conformité du modèle juridique français, par la création d'un droit de propriété sur les données personnelles. Le droit actuel pèche encore sur ce point-là, en considérant que les informations personnelles ne peuvent faire l'objet d'un commerce, au même titre que leurs détenteurs.
Une telle initiative nécessite également la mise en place d'une chaîne de transactions, des utilisateurs désireux de fournir leurs données à la plate-forme amenée à les exploiter. Le think-tank met en avant l'intégration de la technologie blockchain pour authentifier les transactions entre services en ligne et internautes désireux de vendre leurs informations personnelles, et prévoit l'émergence de nouveaux acteurs, dont des courtiers de données.
«Une telle proposition constitue une première dans le monde», indique Bruno Bonnell au Figaro. Le député LREM et multi-entrepreneur s'attelle actuellement à la rédaction d'un amendement sur la propriété inaliénable des données numériques, amené à s'intégrer à la loi relative à la protection des données personnelles. «L'Homo sapiens sapiens va basculer au XXIe siècle vers ce que j'appelle l'Homo sapiens numeris, en raison du nombre exponentiel de données que nous produirons chaque jour», explique-t-il. «Google, Amazon et Facebook considèrent jusqu'à présent que les données leur appartiennent mais pourraient, à terme, devoir payer pour les exploiter.»
De plus, Bruno Bonnell voit dans un tel modèle un nouveau moyen pertinent de taxer les GAFA, en prélevant leurs gains à la source. La question, épineuse, n'a pas encore trouvé de solution durable et fait l'objet de propositions jusqu'alors inabouties. Le 14 janvier, l'ancien député PS Julien Dray a fait part de son souhait d'imposer aux GAFA une dotation universelle de 50.000 euros, à destination de tous les citoyens âgés de plus de 18 ans.
Juste prix
Le modèle économique de la proposition de GénérationLibre fait encore défaut. Un second rapport du think-tank est attendu dans les prochains mois. Il se penchera sur le juste prix à associer à nos données personnelles, en fonction de leurs caractéristiques. Les internautes pourraient ainsi être amenés à gagner plus ou moins d'argent en fonction de la valeur de leurs données sur le marché, les plus intimes étant bien souvent les plus chèrement revendues.
Un tel modèle n'est ainsi pas exempt de dérives. Ces dernières ont été pointées par le Conseil national du numérique (CNNum), dans un avis rendu en avril 2017. L'institution estime que «l'introduction d'un système patrimonial [à savoir la création d'un droit de propriété] pour les données à caractère personnel est une proposition dangereuse». Cette position est partagée par la CNIL, a indiqué Gaspard Koenig lors de la conférence de présentation du rapport.
Pour mieux protéger les citoyens, le Règlement européen pour la protection des données, qui va entrer en vigueur en mai, fait peser la responsabilité de la gestion des données non pas sur les internautes mais sur les sociétés amenées à exploiter leurs informations personnelles. Le texte fixe de nouvelles obligations, dont le droit de portabilité des données d'un opérateur à l'autre, le droit d'effacement et l'établissement d'un consentement explicite au moment de partager des données personnelles.
«La CNIL ne pourra pas indéfiniment créer des lignes Maginot numériques», déplore Bruno Bonnell, auprès du Figaro. Il rejoint en cela Gaspard Koenig. Le penseur libéral, qui préfère s'en remettre au sens de la responsabilité de chacun, estime que le droit actuel repose sur une vision paternaliste de la société.
DATE-CHARGEMENT: 29 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Figaro
Tous droits réservés
93 of 500 DOCUMENTS
Les Echos
lundi 29 janvier 2018
Protection des données : le rendez-vous manqué de la France
AUTEUR: YANN PADOVA
RUBRIQUE: IDEES; Pg. 11 N°. 22623
LONGUEUR: 662 mots
Le règlement général européen sur la protection des données, dit « RGPD », entrera en vigueur le 25 mai prochain, l'année même des quarante ans de la CNIL. Ce texte introduit un véritable changement de paradigme, que le projet de loi déposé devant l'Assemblée nationale le 13 décembre dernier reflète pour partie : suppression des déclarations à la CNIL en contrepartie de l'obligation, pour les entreprises, de « démontrer » leur conformité au RGPD ; introduction de nouveaux outils au profit de la CNIL, comme la certification... Si tout cela figure bien dans le projet de loi, celui-là est plus problématique par ses absences, constitutives d'une triple occasion manquée.
La première occasion manquée est celle de l'innovation. Le RGPD prévoit une cinquantaine de possibilités pour les Etats membres d'assouplir certaines de ses obligations. Parmi celles-là figure la possibilité de favoriser le Big Data en facilitant la mise en oeuvre des traitements de données à des fins statistiques. Notre monde connaît un déluge de données, leur volume doublant tous les vingt-quatre mois. Faciliter leur analyse, chercher des corrélations inédites, favoriser l'émergence de services innovants, tel est l'enjeu du Big Data aujourd'hui et de l'intelligence artificielle demain. En renonçant à exploiter cette possibilité, le projet de loi fait le choix du conservatisme. Au vu des atouts de notre industrie française et de notre école mathématique, ce choix est regrettable. Il témoigne une nouvelle fois de l'absence de prise en considération du lien entre l'innovation, la protection des données et le développement industriel.
La deuxième occasion manquée est celle de la sécurité juridique des entreprises. En effet, les entreprises ayant violé les règles du RGPD pourront faire l'objet d'une amende atteignant jusqu'à 4 % de leur chiffre d'affaires mondial, soit, à titre d'illustration, plusieurs milliards d'euros pour des grandes multinationales. Certes il s'agit d'un maximum. Mais il est sans proportion avec l'actuel (3 millions), sans évoquer celui qui fut applicable par la CNIL de 2004 à 2016 (150.000 euros).
Un renforcement aussi spectaculaire du pouvoir de sanction d'une autorité administrative doit s'accompagner d'un accroissement symétrique des droits et garanties offerts aux entreprises poursuivies. A défaut, c'est l'équilibre entier de la procédure, et donc son caractère équitable, qui s'en trouve menacé. Dans notre système juridique, l'auteur présumé d'un crime bénéficie de garanties plus protectrices que celles offertes à l'auteur d'une simple contravention. Il doit en être de même en matière de protection des données.
Or le projet de loi ne procède pas à la réforme nécessaire en ce sens, bien au contraire. Il maintient à l'identique les organes et les délais de la procédure répressive de la CNIL. Pis encore, il ouvre la possibilité pour une entreprise « qui ne respecte pas » ses obligations de faire l'objet soit d'une mise en demeure, c'est-à-dire d'avoir une chance de se mettre en conformité sans être sanctionnée, soit d'une sanction directe, qui peut être assortie d'une astreinte de 100.000 euros par jour. Pourquoi une entreprise ferait-elle l'objet d'une procédure plutôt que d'une autre ? Sur quels critères ? Le projet de loi est bien silencieux sur ce point.
La troisième occasion manquée est celle de la lisibilité. En effet, le projet de loi habilite le gouvernement à réécrire par ordonnance « l'ensemble » de la loi informatique et libertés dans les six mois de son adoption. Comment le Parlement peut-il accepter de se dessaisir de « l'ensemble » de la rédaction d'une loi qui a trait aux libertés fondamentales ? Comment les entreprises peuvent-elles se préparer alors que le cadre juridique va de nouveau changer dans quelques mois ?
La protection des données et l'économie numérique méritaient bien mieux qu'un projet de loi à durée limitée, sachant que la date du 25 mai 2018 est connue depuis deux ans.
DATE-CHARGEMENT: 29 janvier 2018
LANGUE: FRENCH; FRANÇAIS
NOTES: Yann Padova, ancien secrétaire général de la CNIL, est avocat chez Baker McKenzie.
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
94 of 500 DOCUMENTS
LePoint.fr
Lundi 29 Janvier 2018
Algorithmes : « Ce sont les individus qu'il faut responsabiliser »
AUTEUR: Laurence Neuer
RUBRIQUE: MON PETIT DROIT M'A DIT
LONGUEUR: 1765 mots
ENCART: Pour la présidente de la Cnil Isabelle Falque Perrotin, la « déviance » des algorithmes est inéluctable, d'où l'importance de les tester régulièrement. Entretien.
« Je ne suis pas un numéro, je suis un homme libre ! » s'exclame le héros de la série The Prisoner. Et nous, sommes-nous (encore) des sujets libres ? Ou, sommes-nous (déjà) des numéros inféodés au numérique ? En clair, avons-nous le choix d'échapper à l'algorithmisation de nos vies ? Les algorithmes envahissent nos existences, décident souvent à notre place, voire prétendent anticiper nos désirs. Ils nous « recommandent » des lectures, des « amis » ou des applications mobiles. Demain, la voiture autonome décidera où se garer et notre assureur décrétera que nous sommes un « profil » à risque. Mais à force de confier des tâches aux machines dont le degré d'autonomie va croissant, nous risquons de leur abandonner notre libre arbitre... La perte de contrôle humain et l'enfermement algorithmique des individus dans un « destin prédit » sont l'une des principales inquiétudes des citoyens, selon un sondage cité . Ainsi, 72 % des sondés envisagent comme une menace le fait d'être recruté par des algorithmes sur la base d'une analyse de leur profil, et envisagent comme une priorité l'élaboration d'un cadre éthique.
« Comment repérer des profils atypiques de candidats si l'on délègue les critères de recrutement à des systèmes informatiques ? » interrogent les auteurs du rapport. Reste à définir une « éthique » des algorithmes. Sur quelles bases et à quelles conditions ? Les pistes d'Isabelle Falque Pierrotin, présidente de la Cnil et du G29, le groupe des Cnil européennes. Lire aussi Le Point : Selon certains experts, rendre les algorithmes « transparents » serait un leurre. La Cnil le confirme en soulignant : « L'examen des codes sources s'avère peu réaliste dès lors qu'il s'agit d'analyser des millions de lignes de code. » Comment, dans ces conditions, serons-nous en mesure de critiquer, voire de contredire les résultats de la machine ? Isabelle Falque Pierrotin: Il y a une demande sociale : cette boîte noire doit pouvoir s'ouvrir. Car, qui dit boîte noire dit craintes et fantasmes. Les Français ne savent pas précisément ce que sont les algorithmes (52 %) alors qu'ils en ont quasiment tous déjà entendu parler (83 %). Et nous savons qu'à mesure que le niveau de connaissance augmente, la confiance s'élève. La transparence apparaît donc a priori comme une réponse à ce malaise. Nous pensons néanmoins que ce n'est pas là la solution. La notion de transparence peut faire sens pour les algorithmes déterministes dont on connaît le code source et les règles de fonctionnement, comme Admission Post Bac (APB) par exemple, cet algorithme destiné à faciliter l'appariement entre les souhaits des élèves et les places disponibles dans l'enseignement supérieur. Elle est en revanche beaucoup moins pertinente pour les algorithmes auto-apprenants (qui façonnent eux-mêmes leurs propres règles), qui représentent aujourd'hui la majorité d'entre eux. C'est la raison pour laquelle, suite à la concertation nationale organisée l'an passé sur les enjeux éthiques du numérique, nous préférons recommander « l'explicabilité » et l'audibilité de ces outils : faute d'aller à sa source, interrogeons l'algorithme sur ce qu'il fait et testons-le régulièrement. Le tester pour en identifier les « comportements » déviants ? Les effets inattendus des algorithmes procèdent non pas de leur programmation, mais de leur utilisation. Prenons l'exemple d'un algorithme faisant correspondre des candidatures à des offres d'emploi. On s'est aperçu qu'un outil de ce type, qui n'a pas été paramétré pour discriminer les hommes et femmes, tendait néanmoins à le faire au fur et à mesure des données qu'il reçoit et des clics des internautes sur les offres. Cet algorithme a donc dérivé de manière insensible vers une discrimination, en proposant aux hommes des offres mieux rémunérées que celles qu'il propose aux femmes après six mois d'utilisation. En réalité, il s'est contenté de reproduire des comportements. D'où l'importance de soumettre ces outils à des bilans réguliers. Reste à construire pour ces objets juridiques non identifiés un cadre éthique et juridique... Et ce cadre doit s'appuyer sur deux principes : la loyauté et la vigilance. La loyauté consiste d'abord à dire : « L'algorithme doit dire ce qu'il fait et faire ce qu'il dit. » Ensuite, conçu pour des besoins individuels (par exemple, la gestion du nombre de lits dans un hôpital), l'algorithme ne doit pas trahir la communauté plus large à laquelle il appartient. L'algorithme qui optimise la gestion des lits dans un hôpital ne peut pas expulser les malades trop vite. C'est cet équilibre entre la dimension individuelle et la dimension collective qu'il s'agit de respecter. Le second principe est celui de vigilance. Cela consiste, pour chacun des acteurs de la chaîne algorithmique, depuis le concepteur jusqu'à l'utilisateur final, à questionner de manière régulière l'efficience de l'algorithme. Ces personnes sont en effet co-actrices de l'algorithme. Elles doivent toutes se mobiliser pour tester et évaluer les effets de son utilisation et se poser la question de l'article 1 de la loi Informatique et Libertés de 1978 : est-ce que cet algorithme est au service de l'individu et de la communauté humaine ? Ainsi, la DRH de l'entreprise doit mener une analyse critique sur l'usage de l'algorithme d'aide à l'embauche des salariés ; le juge doit faire de même avec l'algorithme d'aide à la prise de décision. Tous les 50 ou 100 cas, il doit se poser la question : Aurais-je décidé différemment si je ne l'avais pas utilisé ? Des entreprises dédiées à ces tests critiques des algorithmes se créeront peut-être bientôt... Pourrions-nous songer à une sorte d'éthique « by design », intégrée dès la conception de l'algorithme, à l'instar du « privacy by design », qui permet par exemple de paramétrer dans l'algorithme l'effacement automatique des données à l'issue du délai légal ? Attention à ne pas pécher par naïveté. L'éthique ne peut pas être encapsulée dans un objet car, par définition, l'éthique sous-entend une tension entre des objectifs légitimes et contradictoires. Le but d'un processus éthique est précisément de sortir de cette impasse. L'éthique est une notion vivante qui ne peut donc pas être figée. L'algorithme apprenant (machine learning) bénéficie d'une apparente légitimité. Mais dès lors qu'il décidera seul (de la dangerosité d'une personne, du choix d'une thérapeutique, de foncer sur un piéton pour éviter d'en tuer cinq, etc.), qui endossera la responsabilité du dommage ? La responsabilité humaine va-t-elle se diluer dans l'indifférence de la machine et laisser place à une sorte de « fatalité » algorithmique ? Une des caractéristiques de ces outils est qu'ils sont à responsabilité partagée. Leur capacité d'autonomisation croissante par rapport au concepteur initial doit nous conduire à mettre en place un cadre juridique nouveau. Quel type de cadre ? C'est encore à définir. Mais la solution consistant à « externaliser » la responsabilité au sein d'une nouvelle « personne juridique » ou personne « robot » ne nous paraît pas satisfaisante. D'autant qu'elle contredit notre message visant à mobiliser toute la chaîne des acteurs, du donneur d'ordre à l'utilisateur en passant par le concepteur et le développeur. Nous pourrions, en revanche, établir une analogie avec les animaux qui, eux aussi, ont une forme d'autonomie par rapport à leur propriétaire. Et pourtant, celui-ci est responsable si son animal (qu'il ne maitrise pas en permanence) en vient à blesser des personnes. Ce sont les individus qu'il faut responsabiliser. De quoi la vie privée est-elle le nom à l'heure des algorithmes ? Pensez-vous, comme le mathématicien de Google , qu'à l'échelle de l'histoire, « la vie privée pourrait n'être qu'une anomalie » ? Je ne pense pas que la protection de la vie privée soit une « parenthèse » dans l'histoire. Le but des entreprises qui captent les données des individus est de mieux les servir. Mais on le sait, entre ce « service » et la surveillance de l'homme par la machine, il n'y a qu'un pas... Cela signifie-t-il pour autant que l'aspiration à avoir une vie privée disparaît ? Non. Les études montrent au contraire que les individus, sans pour autant renoncer à leur vie numérique, veulent être maîtres de leurs données et de la façon dont les acteurs de l'Internet les exploitent. Un tiers d'entre eux utilisent des bloqueurs de publicités, et les usagers des réseaux sociaux paramètrent de plus en plus leurs comptes. Cela témoigne d'une maturité croissante des individus par rapport à leur vie numérique. Ils veulent avoir le choix. Quant aux acteurs, qui jusqu'à présent souhaitaient garder le plus de liberté possible, le cadre juridique français et européen (le RGPD - Réglement européen sur la protection des données -, qui entrera en application en mai 2018) va les obliger à faire preuve d'une vigilance accrue sur les données qu'ils traitent. Le RGPD rééquilibre les relations entre les individus et les acteurs qui collectent et exploitent leurs informations, notamment avec le renforcement de la notion de consentement, et le nouveau droit à la portabilité, qui permet à tout un chacun de demander à l'opérateur auquel il est contractuellement lié (réseau social, site marchand ou autre) de récupérer ses données dans un format interopérable, afin de les conserver pour lui ou de les porter - c'est-à-dire de les transférer - auprès d'un autre opérateur avec lequel il pourra négocier une offre de service plus intéressante. Les acteurs qui enfreindront le règlement encourent des sanctions financières très lourdes pouvant aller jusqu'à 4 % de leur chiffre d'affaires mondial. Et ils auront face à eux le réseau des Cnil européennes, avec la capacité de prononcer des sanctions à 28, autrement dit une force de frappe très dissuasive. Le RGPD a été pensé pour redonner aux individus le contrôle sur leurs informations personnelles. Lire sur le même sujet : Au Tribunal internet : "
DATE-CHARGEMENT: 29 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Point
Tous droits réservés
95 of 500 DOCUMENTS
Les Echos.fr
lundi 29 janvier 2018
L'intelligence artificielle divise l'opinion publique mondiale
AUTEUR: BENOIT GEORGES
RUBRIQUE: ARTICLE; La France plus frileuse
LONGUEUR: 1172 mots
ENCART: PROSPECTIVE. Une étude BETC sur l'acceptation du numérique à travers le monde montre le fossé qui sépare les pays occidentaux, souvent frileux, de la Chine, très enthousiaste sur l'intelligence artificielle ou les objets connectés.
La dernière édition de l'étude BETC sur les « prosumers » met en lumière une fracture entre l'opinion publique des pays occidentaux et celle de l'Asie, et en particulier de la Chine, sur les sujets liés au numérique.
Internet, les réseaux sociaux et l'intelligence artificielle peuvent avoir un impact sur la planète entière, mais le regard que nous portons sur eux varie grandement d'un pays à l'autre. C'est ce qui ressort d'une étude sur l'acceptation des technologies numériques dévoilée ce mardi par l'agence de communication BETC. Intitulée « iLife - bienvenue dans la vie sous algorithmes », cette enquête a été menée courant 2017 auprès de plus de 12.000 personnes dans 32 pays.
Lire aussi :
Document : les résultats de l'étude iLife de BETC
L'intelligence artificielle inquiète deux Français sur trois
Réalisée chaque année, l'étude sert habituellement à capter les différences d'opinions sur un grand nombre de sujets entre les consommateurs classiques (« mainstream ») et les plus avant-gardistes, ceux qui préfigurent les tendances de demain - que l'agence appelle « prosumers » (« professional consumers »). Mais, concernant le numérique, l'édition 2018 met surtout en lumière une fracture, plus grande encore, entre l'opinion publique des pays occidentaux et celle de l'Asie, et en particulier de la Chine.
La France plus frileuse
Le fossé est particulièrement marqué pour les questions liées à l'intelligence artificielle. A la question « Pensez-vous que l'intelligence artificielle fera progresser l'humanité », 78 % des « prosumers » et 60 % des consommateurs « mainstream » en Chine répondent par l'affirmative. Cette idée n'est partagée que par 36 % et 25 % des sondés en France ou 46 % et 30 % aux Etats-Unis, pays d'où viennent pourtant les principales entreprises à la pointe de l'IA aujourd'hui.
Lire aussi :
Ce que les Français attendent de l'intelligence artificielle
Une France (et même une Europe) plutôt inquiète vis-à-vis de l'intelligence artificielle et des technologies numériques, une Amérique du Nord un peu moins réticente et une Chine très largement enthousiaste : le constat n'est pas surprenant en soi, mais la succession des questions posées par BETC illustre l'ampleur de la fracture. Ainsi, 64 % des consommateurs chinois pensent que l'intelligence artificielle « nous libérera des tâches répétitives et nous donnera plus de temps pour profiter de la vie », contre seulement 33 % des Français, 36 % des Britanniques ou 31 % des Américains.
Les Chinois sont aussi les plus nombreux à penser que l'IA « créera des emplois que nous n'imaginons pas encore » (50 %) et les moins nombreux (29 %) à penser qu'elle « laissera des millions de personnes sans travail ». Le pouvoir chinois, qui, dans son plan stratégique pour l'intelligence artificielle publié l'été dernier, vise ouvertement la première place mondiale d'ici à 2025, peut visiblement compter sur le soutien de la population.
Lire aussi :
Laurent Alexandre : « L'Europe a complètement perdu la bataille de l'IA »
Les Chinois sont aussi, selon l'étude, nettement plus enclins à accepter que les algorithmes et les objets connectés décident pour eux : 62 % d'entre eux (et 80 % des prosumers chinois) aimeraient ainsi que leur frigo connecté commande les courses à leur place. Les sondés sont également une majorité, en Chine comme en Inde, à avoir envie que leurs proches puissent les géolocaliser à tout moment grâce à leur smartphone - une idée qui n'intéresse que 34 % des Américains et 16 % des Français.
« La Chine et, dans une moindre mesure, l'Inde témoignent d'une plus grande appétence aux nouveautés technologiques parce qu'elles assimilent le digital au progrès, analyse Olivier Vigneaux, président de BETC Digital, qui utilise cette étude pour conseiller ses clients sur leur stratégie numérique. Cela veut dire que les marques peuvent se permettre d'aller plus loin dans le digital sur les marchés asiatiques car l'accueil sera plus positif qu'en Europe. Chez nous, il y a plus de conservatisme parce que nous pensons que nous avons plus à y perdre qu'à y gagner. »
Inquiétude sur les données
Il y a cependant un point sur lequel les opinions des différents pays se rejoignent : l'inquiétude quant à l'usage qui est fait de leurs données personnelles. Que ce soit en France, en Chine, aux Etats-Unis ou en Inde, environ 70 % des personnes interrogées par BETC se disent « inquiètes de ne pas savoir ce que les entreprises font de leurs données et informations personnelles ». Et elles sont moins d'un quart, dans la plupart des pays, à affirmer qu'elles « ne s'intéressent pas à ce que les entreprises font » de leurs données, du moment qu'elles obtiennent « des services ou des produits gratuits en retour. »
Pour Olivier Vigneaux, il s'agit d'une rupture importante dont les marques doivent prendre conscience. « Les gens ont toujours déclaré qu'ils se préoccupaient de leurs données, mais le désir qu'ils avaient d'accéder aux services rendus par un Google ou un Facebook était jusqu'à présent plus fort que leurs craintes. » Ce n'est plus le cas aujourd'hui, et le président de BETC Digital estime que le mouvement va s'accroître. « C'est pourquoi nous conseillons désormais à nos clients d'être le plus transparent et le plus pédagogue possible vis-à-vis des utilisateurs, afin de recréer de la confiance. » Le nouveau règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai prochain, apparaît donc comme le reflet d'une préoccupation désormais mondiale.
Réseaux sociaux : la fin de la fascination
Dans le passé, les médias sociaux rapprochaient les gens ; aujourd'hui, ils les divisent. Le constat peut sembler féroce, mais il est partagé par 46 % des consommateurs au niveau mondial. La partie de l'étude iLife consacrée aux réseaux sociaux illustre une prise de conscience forte des limites des réseaux sociaux, il est vrai, pointés du doigt de plus en plus régulièrement depuis l'élection de Donald Trump. Près d'une personne interrogée sur deux, y compris en Chine, estime ainsi que les réseaux sociaux réduisent notre capacité à penser de façon critique.
« Avec les médias sociaux, on est passé de l'âge de la fascination à l'âge de la maturité, analyse Arianne Hurstel, vice-présidente de BETC chargée de la stratégie. Quand les gens disent eux-mêmes que les réseaux sociaux les enferment dans des bulles, cela signifie qu'ils sont assez clairement conscients du problème. »
Dans le même temps, les personnes interrogées sont une majorité à affirmer que les réseaux sociaux « nous donnent le pouvoir de soutenir des causes importantes » et qu'ils « permettent à des gens ordinaires de s'unir pour faire changer les choses ».
Contributor:
DATE-CHARGEMENT: 7 mars 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: La dernière édition de l'étude BETC sur les « prosumers » met en lumière une fracture entre l'opinion publique des pays occidentaux et celle de l'Asie, et en particulier de la Chine, sur les sujets liés au numérique.
TYPE-PUBLICATION: Publication internet
Copyright 2018 Groupe Les Echos
tous droits réservés
96 of 500 DOCUMENTS
Le Figaro Online
samedi 27 janvier 2018 06:58 PM GMT
Avec Laurent Gayard, plongée dans les profondeurs du Darknet
AUTEUR: Alexandre Devecchio; adevecchio@lefigaro.fr
RUBRIQUE: VOX SOCIÉTÉ; VOX; Vox Societe
LONGUEUR: 2102 mots
ENCART: FIGAROVOX/GRAND ENTRETIEN - Laurent Gayard a exploré l'univers sombre et fascinant du Darknet, cet Internet crypté où l'anonymat est garanti et où l'anarchie fait loi. Il nous emmène dans les profondeurs abyssales d'un espace de liberté et de menaces, où les pirates informatiques les plus doués cotoient des trafiquants de tout poil.
Laurent Gayard est enseignant, est chroniqueur à la Revue des Deux Mondes, à la Revue Phébé, au Magazine Causeur et à la Revue Conflits. Il publie ce mois-ci Géopolitique du Darknet. Nouvelles frontières et nouveaux usages du numérique (éd. ISTE, 2018).
FIGAROVOX.- Votre dernier livre s'intitule Géopolitique du Darknet, mais d'abord, qu'est-ce que le «Darknet»? Quelle différence avec le dark web ou le deep web
Laurent GAYARD.- Le terme «Darknet» a été utilisé par quatre ingénieurs de Microsoft dans un article de 2003. Il désignait à ce moment-là les réseaux de téléchargement illégal. Aujourd'hui, il désigne tout réseau parallèle crypté ou nécessitant un protocole très spécifique afin de s'y connecter. Le terme de «deep web», «web profond», est encore souvent confondu avec le «darknet», «l'Internet caché». Ce sont pourtant deux choses différentes. Le «deep web» ou «web profond» désigne tout simplement l'ensemble des pages ou des sites qui ne sont pas référencées par les moteurs de recherche traditionnels. Le «deep web» en fait, ce n'est rien d'autre que l'ensemble des données qui se sont accumulées en vrac depuis la création d'Internet qui compte aujourd'hui plus d'un milliard trois cents millions de sites. Le «darknet», c'est l'ensemble des réseaux cryptés qui existent sur Internet. Cela ne représente que moins de 0,05 % du volume de données sur Internet et on devrait parler plutôt des darknets, car il y en a plusieurs: Freenet, I2P, Tor...
Qu'est-ce qui vous a conduit à vous intéresser à ce sujet?
Cette idée de réseaux cachés est tout de même fascinante! Quand j'étais gamin, j'étais passionné par tout ce qui avait un rapport avec les fonds océaniques, l'océanographie, la fosse des Mariannes... Et j'ai trouvé un jour une fosse des Mariannes électronique. Plus sérieusement, il y a une question politique cruciale derrière tout cela: Internet est par essence un espace déterritorialisé. Bien sûr, ce réseau informatique repose sur une structure physique - câbles, satellites, centres de données - mais celle-ci est désormais mondiale et décentralisée même si les États-Unis hébergent encore les plus importants centres de données. La difficulté qu'on rencontre à intervenir sur ces réseaux cryptés pose des questions cruciales en termes de capacité juridique nationale et internationale et en termes de gouvernance mondiale.
Alors que Facebook et Twitter sont les lieux de la transparence absolue, peut-on dire que le Darknet est l'espace de l'anonymat et de la liberté? Y trouve-t-on l'esprit originel du web avec une forme de liberté d'expression totale?
Facebook et Twitter ne sont pas des lieux de transparence absolue. En théorie, les deux réseaux sociaux imposent de créer des comptes sous son véritable patronyme. En réalité, les comptes factices pullulent et il existe donc bien souvent une dissymétrie entre celui qui invective et insulte, protégé par son avatar virtuel et celui ou celle qui est insulté sous son vrai nom. Le masque peut imposer une civilité... À partir du moment où tout le monde porte un masque. Sur les darknets, tout le monde est caché. Cela laisse libre cours sur certains sites ou forums à tous les abus mais on s'aperçoit avec la pratique que les «darknautes» qui fréquentent des forums sérieux sont obligés de policer leur langage s'ils ne veulent pas se faire mettre à l'index par le reste de la communauté.
Cela rappelle beaucoup les premiers temps d'Internet, à la fin des années 90 et au début des années 2000, quand l'anonymat était encore la règle, avant que les réseaux sociaux n'imposent l'extraversion. Facebook exige cependant un peu plus de tenue mais Twitter ressemble de plus en plus à un défouloir où les gens viennent s'insulter, s'invectiver et se clouer au pilori à la moindre occasion. C'est aussi parce que la fréquentation y est massive et que le mélange des genres entre transparence et pseudonyme crée des rapports souvent malsains. Les darknets sont par ailleurs des univers peu intuitifs, un peu intimidants, dans lesquels il n'est pas évident de s'orienter de prime abord. Ce qui ne met pas dans des dispositions psychologiques qui autorisent à débarquer sur un forum pour invectiver tout le monde. En tout cas, un fait amusant, c'est qu'une version «darknet» de Facebook existe désormais sur le réseau Tor...
Le Darknet est aussi le refuge des lanceurs d'alerte et des cryptoanarchistes... Comment Snowden et Assange ont-ils utilisé ce réseau parallèle?
Wikileaks, le site fondé par Julien Assange en 2006, utilise notamment Tor pour permettre aux «lanceurs d'alerte» de poster documents, révélations et informations sans compromettre leur identité. Le réseau Tor est actuellement le plus populaire des darknets. Il comptait quelque 400 000 à 500 000 utilisateurs quotidiens avant que n'éclate l'affaire Snowden et sa fréquentation a été multipliée par quatre en deux mois après les révélations de l'ancien agent de la NSA. Il s'agit d'un réseau parallèle et confidentiel qui rassemblerait plus de 60 000 sites et garantit l'anonymat et la confidentialité des échanges en cryptant les flux par couches successives, d'où son nom un peu étrange: «The Onion Router» (TOR), le «routeur en oignon».
Derrière cet ésotérisme cyber-potager se cachent des opérations complexes qui font passer la connexion de tout utilisateur par une série de points à partir desquels son adresse électronique est constamment modifiée. Jusqu'à preuve du contraire, la NSA n'aurait jamais réussi à «casser» le réseau Tor et Edward Snowden lui-même déclare l'utiliser et en recommande l'usage, tout comme le site Wikileaks qui explique même comment l'installer et l'utiliser. Dans le documentaire Citizenfour, la journaliste Laura Poitras souligne que Snowden utilisait aussi Tails («The Amnesic Incognito Live System»), le système d'exploitation amnésique et anonyme...Un équivalent de Windows qui se lance à partir d'une clé USB, ne garde rien en mémoire des activités de l'utilisateur et utilise aussi Tor comme navigateur. Le réseau Freenet n'est pas en reste lui non plus, largement utilisé aussi par Wikileaks ou d'autres sites de lanceurs d'alerte.
Le Darknet a aussi une face sombre: c'est le lieu privilégié des cybercriminels, pédophiles terroristes, trafiquants de drogue ou d'armes. Peut-on parler de «zone de non-droit» virtuelle?
Oui, absolument. Parce qu'il ne faut pas se voiler la face et que ces réseaux cryptés, par l'anonymat qu'ils assurent à ceux qui les utilisent, donnent aussi asile à des activités parfaitement illégales, du trafic de drogue au trafic d'armes en passant par la pornographie illégale et la pédopornographie. Internet lui-même n'est pas exempt d'activités aussi moralement et légalement condamnables mais les darknets rendent l'identification de ceux qui s'y adonnent très compliquée. Il a fallu deux ans d'enquête au FBI pour infiltrer le site Silk Road, véritable supermarché de la drogue sur Tor, et arrêter son propriétaire Ross Ullbricht. Et encore le site a-t-il redémarré rapidement sur Tor, puis sur le réseau I2P.
Quelquefois, ce sont d'autres forces de coercition qui se substituent aux États: en 2011, les Anonymous ont lancé une «Opération Darknet» pour attaquer une quarantaine de sites pédophiles sur le réseau Tor. C'est très difficile pour les États d'intervenir car cela demande des moyens d'investigation importants et beaucoup de temps pour traquer les criminels sur les réseaux cryptés. Sans compter que même la NSA s'est cassé les dents sur le décryptage du réseau Tor. Cela pose aussi d'autres problèmes de sécurité. En 2016, Bernard Cazeneuve déclarait que «ceux qui nous frappent [les terroristes] utilisent le réseau Tor». Il existe bien un guide du djihadiste sur Tor, diffusé en 2015 mais il reste assez difficile de savoir si cet outil est vraiment très utilisé par les terroristes en puissance. Là encore, l'utilisation du réseau et la mise en place d'un site Tor demande quelques connaissances techniques pas inabordables mais nécessitant tout de même un peu de travail.
L'autre menace qui inquiète les États, c'est le développement du piratage informatique. Les attaques d'avril et mai 2017 ont été les premières attaques pirates globales (plus de 150 pays touchés) et elles ont utilisé des logiciels vendus sur des forums du darknet devenus de véritables places de marchés pour les pirates qui monnayent identifiants mails ou de comptes en banque, données piratées, logiciels, failles d'exploitation. C'est un véritable problème économique et sécuritaire.
Les États eux-mêmes l'utilisent-ils pour leurs cyberattaques?
Les Etats aussi lancent des cyberattaques. Un précédent historique est celui de l'Estonie, paralysée par une cyberattaque russe en 2007, ou la Géorgie, dont l'invasion éclair en 2008 avait été précédée d'une vaste cyberattaque. Un instrument comme Tor a été développé avec les fonds de la Navy dans les années 90. Il devait servir au départ de plate-forme de communication cryptée pour les agents américains jusqu'à ce que Paul Syverson, l'un des informaticiens en charge du projet, annonce à l'un de ses supérieurs: «Si vous avez un système qui dépend uniquement de la Navy, tout ce qui en sort est lié de manière évidente à la Navy. Vous avez besoin d'un réseau qui supporte un trafic ouvert à d'autres gens.» C'est le cas aujourd'hui: Tor n'est plus propriété de la Navy, son développement est géré par une ONG et le public qui le fréquente est très divers... et compte sans doute aussi nombre de représentants des agences de sécurité et de renseignements de différents pays.
«Vous n'avez aucune souveraineté là où nous nous réunissons. Nous formons notre propre contrat social», proclamait la «déclaration d'indépendance du cyberespace». À terme, ce cyberspace peut-il déstabiliser les État-nations?
La citation est de John Gilmore, personnage haut en couleur de la nébuleuse «crypto-anarchiste» des années 90 qui fut aussi parolier du groupe de rock psychédélique Grateful Dead. Ce type de déclaration - celle-là fut faite en 1996 - correspond à une période de développement d'Internet où nombreux étaient ceux qui pensaient que le réseau allait remettre en cause la domination des États et des multinationales et libérer les individus. Cela n'a pas vraiment été le cas. Les darknets aujourd'hui peuvent alimenter les mêmes fantasmes de «zones autonomes virtuelles» qui succéderaient aux «zones autonomes temporaires» de l'auteur anarchiste Hakim Bey, mais il est peu probable tout de même que ces réseaux, aussi difficiles soient-ils à appréhender pour les arsenaux législatifs nationaux, puissent menacer l'existence-même des États, confrontés à des menaces bien plus concrètes. En revanche, il est certain que ces réseaux peuvent échapper en partie au contrôle des États, ce qui peut s'avérer d'ailleurs tout à fait vital pour les opposants politiques ou dissidents dans les régimes autoritaires.
N'y a-t-il pas finalement davantage à craindre des GAFA sur ce plan?
Il y a certainement plus à craindre en effet de mastodontes tels que Facebook ou Google qui ont réussi à créer de véritables écosystèmes technologiques et économiques sur Internet et qui sont par ailleurs les plus grands collecteurs de données personnelles, au détriment du droit à la protection de la vie privée de leurs utilisateurs. Ces données personnelles représentent un marché en plein essor au point que certains spécialistes n'hésitent pas à comparer le marché des données privées au «pétrole du XXIe siècle». Cette question est d'ailleurs une pomme de discorde entre les États-Unis et l'Union Européenne qui veut contraindre les GAFA et les autres entreprises numériques à respecter le droit à la protection des données personnelles des citoyens de l'UE. Le Règlement Général sur la Protection des Données Personnelles (RGPD), dont le principe a été avalisé en 2016 par la Commission européenne, sera activé le 25 mai prochain. Il contraindra toutes les entreprises, y compris hors-UE et y compris les GAFA, à ne plus conserver aucune donnée personnelle sans l'autorisation des clients et usagers, sous peine d'une amende pouvant aller jusqu'à 4 % du chiffre d'affaires de l'entreprise visée. Dans le cas de Facebook ou de Google, on arriverait à des montants colossaux.
Vous écrivez qu'en 2030, on aura 130 millions d'objets qui seront connectés. Comment réglementer cela?
La question rejoint la précédente et en amplifie la réponse. Dans un univers où l'individu est environné d'objets connectés, la question de la protection des données personnelles et de la protection contre le piratage informatique devient cruciale mais la réglementation reste largement à concevoir ou à repenser.
DATE-CHARGEMENT: 27 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Figaro
Tous droits réservés
97 of 500 DOCUMENTS
Challenges.fr
vendredi 26 janvier 2018 2:20 PM GMT
Et si on vendait nos données personnelles aux GAFA?
AUTEUR: Léa Lejeune
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 957 mots
ENCART: Le think tank Génération Libre veut instaurer la patrimonialité des données personnelles. Dans un rapport publié le 25 janvier, il explique comment les utilisateurs pourraient les monétiser. Réaliste ou farfelu? Interview de son président Gaspard Koenig.
Gaspard Koenig, le fondateur du think tank très libéral Génération Libre a déniché une nouvelle idée révolutionnaire : transformer les données personnelles en marchandises afin que les utilisateurs puissent les vendre comme nimporte quel bien. Ce 25 janvier, il a publié un rapport « Mes datas sont à moi. Pour une patrimonialité des données personnelles ».
En quoi votre proposition sur les données est-elle réellement disruptive ?
Les citoyens sont des producteurs de données, mais aujourdhui ils se font « spoiler » de ce bien par les plateformes Internet. Ces GAFA (Google, Amazon, Facebook et Apple) les récupèrent et en puisent une valeur commerciale auprès des annonceurs. Au passage, elles oublient de rémunérer le citoyen numérique. Certes, elles proposent un service gratuit en échange, mais ces plateformes en tirent une valeur bien plus importante que le service fourni.
Dans ce rapport, nous sommes partis dune idée lancée par linformaticien et essayiste Jaron Lanier aux Etats-Unis, auteur de « Who owns the future ». Nous avons travaillé avec des spécialistes du droit, de la propriété intellectuelle et du marketing, de la cybersécurité pour donner du corps à cette idée.
Faire de nos données personnelles une partie de notre patrimoine donc. Quest-ce que cela changerait ?
Cela veut dire quelles sont un bien et que pour les céder, il faudrait un consentement explicite des internautes. Sur le web, on clique tous les jours sur des listes de conditions dutilisations pour accéder aux services numériques : personne ne les lit, personne ne peut les négocier, on donne nos données sans faire attention. Les plateformes les agrègent ensuite, puis les revendent aux agences de publicité qui les utilisent pour mieux cibler les consommateurs. Car quand le service semble gratuit, il est financé par la publicité.
Il nexiste aucune mesure réellement efficace pour protéger les données des consommateurs, ni pour les monétiser en droit français, ni en droit Européen. Il devrait y avoir tout une palette de choix : soit je donne tout, soit je choisis et quelle partie, soit je paye.
La Commission européenne a récemment reproché à Facebook dagréger les données des utilisateurs de Whatsapp. Est-on vraiment obligé de céder ces données pour accéder à un service ?
Oui car pour utiliser Whatsapp, il faut accepter de les céder. Si on refuse, on ne peut pas lutiliser. Il faudrait que les personnes qui ne le souhaitent pas aient la possibilité davoir accès au service tout de même. Pour que les GAFA y gagnent aussi, il faudrait que ces services soient payants dans ce cas là.
Dans votre rapport, vous proposez même que les GAFA soient taxés sur ces données récupérées. Comment est-ce conciliable avec lobjectif libéral de payer moins dimpôts ?
Je vois cette proposition comme une manière de résoudre le problème de la taxation des GAFA à léchelle européenne. LEurope a dû mal à contraindre ces groupes à payer leurs impôts de manière générale et dans des pays comme la France par exemple car on a du mal à définir la territorialité des activités numériques. Nous proposons que ces données personnelles soient taxées via la TVA. Ce serait plus facile de retracer dans quel pays la taxe doit être payée.
Votre proposition soulève un problème éthique et philosophique tout de même. Faut-il vraiment tout monétiser ?
Nous avons étudié les thèses qui défendent que certains biens et services doivent rester hors du marché, notamment celles du philosophe Michael Sandel. Pour moi, cette manière de penser revient à refuser de donner du capital aux gens.
De ce point de vue, les GAFA ont un peu la position de lEglise au moment de la naissance du capitalisme : elle ne voulait pas que tout se marchandise. Le risque ? Cest que vous soyez asservis au nom de votre propre dignité. Transformer les données en patrimoine repose sur un principe très libéral : le droit de propriété, cest le droit den faire quelque chose. La monétisation permet de redonner du capital, et donc du pouvoir, aux individus.
Quelle somme la vente de ces données pourrait-elle représenter pour les consommateurs ?
Nous savons quen 2020, la valeur des datas personnelles devrait atteindre 1000 milliards deuros en Europe, soit 8% du PIB, selon BCG.
Calculer le revenu des données personnelles par individu est plus difficile. Si on prend le revenu de Facebook et quon le divise par le nombre dutilisateurs, cela ne représenterait que 10 dollars par an par individu. Dans « Who owns the future », le gain par personne est estimé à quelques centaines de dollars par mois. Mais obtenir un calcul précis nécessite un travail plus poussé. La Toulouse School of Economics se penche dessus pour poursuivre notre réflexion.
Cela semble tout de même irréaliste, voire irréalisable. Comment faudrait-il sy prendre concrètement ?
Déjà, les premières bases sont en train dêtre posées. La RGPD (le règlement européen sur la protection des données personnelles applicable en mai prochain, ndlr) introduit des éléments qui se rapprochent du droit de patrimonialité. Cest le cas de la portabilité des données qui garantit au consommateur le droit de les transférer dun service ou dun opérateur à un autre.
Concrètement, je propose que la patrimonialité des données soit garantie par une signature électronique - plus sécurisée que ladresse IP - et par la blockchain. Ce qui permettrait même de saffranchir de laide des Etats.
Mais ce nest pas irréaliste ! Comme le revenu universel que javais défendu il y a des années, cette idée va faire son chemin. Quand lopinion publique sen empare, le politique suit. Et les jeunes, les personnes très connectées, comprennent déjà très bien ce que valent leurs données. Ce sont les politiques et les élites qui mettent du temps à le saisir...
DATE-CHARGEMENT: January 26, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2018 Challenges
tous droits réservés
98 of 500 DOCUMENTS
La Tribune
Vendredi 26 Janvier 2018
Cybersécurité : RGPD, hyper-connexion, résilience... les tendances 2018
AUTEUR: Gaëtane Deljurie, à Lille
RUBRIQUE: FOCUS; Pg. 17
LONGUEUR: 832 mots
ENCART: Entre le règlement européen sur la protection des données (RGPD), la multiplication des attaques informatiques de grande ampleur et l'hyperconnexion grandissante, jamais les menaces informatiques n'ont été aussi grandes. Mais les opportunités de business également comme en témoigne l'affluence au Forum international de la cybersécurité qui se déroulait ces 23 et 24 janvier, à Lille.
RGPD. Le désormais fameux Règlement général sur la protection des données était sur toutes les lèvres du Forum international de la Cybersécurité (FIC), organisé à Lille mardi et mercredi derniers. Pour la majeure partie des 200 exposants travaillant dans la sécurité informatique, le RGPD offre des opportunités de business sans précédent. De l'hébergeur français de sites internet OVH, victime d'une cyberattaque massive en 2016, aux start-ups, l'écrasante majorité des exposants de ce forum proposent des offres pour répondre à l'obligation urgente de protéger les données personnelles, applicable par toutes les entreprises européennes dès le 25 mai prochain.
"Comme toutes les sociétés devront désormais signaler les piratages de données personnelles, une chose est sûre : l'actualité va mettre beaucoup plus en avant ces attaques informatiques", prévoit le président de Provadys, Olivier Pantaleo. Tous les experts s'accordent à dire que ce n'est qu'un début. Si les logiciels malveillants WannaCry et Petya ont beaucoup fait parler l'année dernière avec leurs attaques mondiales, Spectre et Meltdown ont déjà donné le ton pour 2018. Développer une résilience face à toutes les attaques Demain, les malwares, ransomwares et autres phishings (en français, virus, logiciels de rançon ou hameçonnage/filoutage) feront partie du quotidien. "La règle numéro 1 en matière de sécurité informatique, c'est l'humilité : on ne sait pas où et quand mais quelqu'un va rentrer un jour dans le système", a résumé Nicolas Villetelle de Trend Micro France SA lors de sa conférence sur l'intelligence connectée. D'où la thématique de la résilience, choisie pour la conférence plénière d'ouverture du Forum. Une résilience omniprésente qui fait dire au directeur CyberSecurity France d'Airbus Defense and Space, Frédéric Julhes, qu'il faut désormais "savoir vivre avec le risque" : "Notre expertise vise justement à détecter ces signaux faibles permettant de détecter ces attaques en amont : la résilience, c'est la capacité à réagir en toute agilité, surtout vis-à-vis des vulnérabilités de type 0-day, ces types d'attaques jamais rencontrées nulle part encore. Les systèmes rigides ne suffisent plus". Ainsi, la start-up Sqreen qui a remporté le prix de la PME innovante du FIC 2018, fournit une solution permettant de détecter les vulnérabilités et prévenir les attaques au sein des applications web. Pile poil dans la tendance des "DevSecOps", intégrant la sécurité directement au sein des applications. La start-up française va d'ailleurs ouvrir des bureaux à San Francisco, la moitié de ses clients étant basée aux Etats-Unis. Hyperconnexion et intelligence artificielle Autre thématique phare du FIC 2018, c'est "l'hyperconnexion" : en multipliant les objets connectés, on élargit considérablement le champ des attaques. Près de 20 milliards de systèmes devraient connectés à horizon 2020 ! "Avec l'éparpillement de la data, la surface d'attaque va devenir incontrôlable. Le flux des informations ira au-delà de nos capacités actuelles à les traiter", poursuit Trend Micro France SA. Heureusement, certains entrevoient déjà le sauveur : l'intelligence artificielle, qui devient de plus en plus efficace à mesure que la quantité de données grandit... Orange Cyberdefense a d'ailleurs suscité beaucoup de curiosité avec son approche "d'intelligence augmentée" qui se nourrit en temps réel des différents modes d'attaque et démultiplie son action avec une capacité de prédiction. Google s'y est mis depuis bien longtemps : "L'intelligence artificielle est tellement puissante qu'elle permet au milliard d'utilisateurs de Google d'être protégé au quotidien des centaines de millions d'attaques", a-t-on entendu lors de la conférence. Pour Jean-Noël de Galzain, star de l'écosystème français de la cybersécurité (à la tête du groupement des pépites de la cybersécurité Hexatrust et de Wallix), les pépites de la cybertech françaises ont réussi à se faire une place dans cette ère de la mobilité et de l'hyper-connexion sur des secteurs de pointe comme "l'identification des utilisateurs, l'authentification, la traçabilité des activités, la gestion des identités et des droits, le chiffrement, etc.."». De nouveaux territoires prometteurs qui compensent la concurrence agressive des nouveaux entrants dans les domaines des anti-virus et de la sécurité périmétrique avec les firewalls, où Hexatrust et Wallix étaient en pointe. Parmi ces start-ups, la très disruptive Prove & Run qui s'est spécialisée dans la sécurité des objets connectés en créant "un tout petit OS proche du zéro bug, afin de justement épauler des systèmes vulnérables", explique Christophe Pagezy, PDG-cofondateur de la société qui travaille aujourd'hui avec l'automobile, le ferroviaire, l'aéronautique... "Aujourd'hui, les enjeux sont tels que les mafieux n'hésitent pas à investir de fortes sommes pour acheter un modèle connecté et à les décortiquer pour voir la faille". Autant dire qu'à côté, le RGPD n'est qu'une simple formalité.
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
99 of 500 DOCUMENTS
La Tribune
Vendredi 26 Janvier 2018
#10000startups : et les gagnants du Grand Est sont...
RUBRIQUE: NUMÉRIQUE; Pg. 57
LONGUEUR: 861 mots
ENCART: Maintenance préventive des machines industrielles, premier générateur d'électricité hybride, Slack et WhatsApp des médecins, réseau social des passionnés de musique : les lauréats de Nancy et sa région sont connus.
Après Lille, la deuxième étape du tour 2018 du prix #10000 startups pour changer le monde s'est arrêtée à Nancy pour dénicher les pépites du Grand Est. Une quinzaine d'entrepreneurs en herbe ou confirmés ont "pitché" leur projet devant un jury composé de nos partenaires : en plus de La Tribune se trouvaient des représentants de BNP Paribas, Enedis, Mazars, AG2R La Mondiale, WeHealth by Servier et Business France. Au terme d'une matinée abondante en pitchs, le jury a difficilement sélectionné six entrepreneur(e)s, un par catégorie. Tous sont qualifiés pour la grande finale nationale, qui se tiendra à Paris le 6 mars prochain.
Ils affronteront les gagnants issus des sélections à Lille, Lyon, Marseille, Toulouse, Bordeaux, Nantes et Paris. Les lauréats nationaux seront révélés lors d'une cérémonie au Grand Rex le 9 avril, toujours dans la capitale. Dans la catégorie Industrie 4.0, le jury a récompensé Olivier Manette, 40 ans, président de la startup Flod. Son credo : les objets connectés pour la maintenance prédictive sur les sites industriels. Son système breveté d'analyse des vibrations des structures peut détecter et prévenir les anomalies, de manière plus sensible et moins coûteuse qu'une surveillance par caméra ou par hélicoptère. La jeune pousse de Reims de quatre personnes a aussi recours au deep learning pour rendre la détection automatisable. Dans la catégorie Environnement et Transition énergétique, Sébastien Faivre, 33 ans, a bluffé le jury avec h2sys. L'entreprise domiciliée à Belfort, issue d'un transfert d'une technologie développée au CNRS, conçoit le premier générateur hybride à hydrogène, intégrant un système de pile hybridé à un élément de stockage électrique, embarquant des cartes électroniques dotées d'un contrôle intelligent des flux d'énergie. De quoi remplacer les groupes électrogènes polluants et bruyants, et permettre aux particuliers et aux entreprises de bénéficier d'une énergie propre, stockée sans pertes. Dans la catégorie Tech for Good, l'ancrage territorial et les valeurs positives d'Adrien Bodennec ont permis à sa startup By Français de remporter la mise. L'entreprise de Belfort a mis au point un site de vente en ligne (mode, gastronomie) qui commercialise uniquement des produits fabriqués en France par des entreprises ayant un fort impact social et économique sur leur bassin de vie. La startup récupère et analyse les données RH et comptables des entreprises dont elle commercialise les produits, pour établir leur impact économique, visualisé sur une carte de France illustrant les étapes de fabrication du produit, le nombre de salariés associés à l'entreprise et le temps de travail généré par l'achat du produit chez les différents acteurs de la chaîne de fabrication. Ce qui permet au consommateur d'avoir une idée précise de son "pouvoir d'achat" et de soutenir des entreprises éthiques. Dans la catégorie Santé, le lauréat régional est Aurélien Lambert, jeune médecin oncologue de 34 ans et Pdg de PandaLab. Cette jeune startup, créée à Nancy par et pour le personnel soignant, se définit comme le Slack ou le WhatsApp des médecins. Il s'agit d'une messagerie instantanée sécurisée pour envoyer en un éclair toutes les informations, compte-rendus et fichiers dont les médecins et infirmiers ont besoin pour la prise en charge des patients. Des fonctionnalités médicales, comme la création d'ordonnances en un clic ou la lecture d'imagerie médicale directement dans l'application, ont été intégrées. PandaLab est hébergée en France, compatible avec le règlement européen RGPD et certifié par le label M-Health. Dans la catégorie Cloud Data IA, le strasbourgeois Olivier Gene, 39 ans, valorise avec sa startup Lunc les données des clients des sites de mise en relation comme Le Bon Coin, Meetic, ou les plateformes immobilières. Sa plateforme intégrable en marque blanche permet l'amélioration de la conversion client et l'instantanéité du matching entre internautes. Elle apporte une connaissance précise de l'internaute grâce à une solution de téléphonie embarquée dotée d'un module de paiement sécurisé, pour permettre aux internautes de s'appeler en un clic depuis tout site internet en préservant leur numéro. Les données sont analysées et restituées sur un "board". Enfin, dans la catégorie Start, la maturité et l'ambition de Morgane Canastra, 27 ans, ont impressionné le jury. La jeune femme a créé Wyker, une application mobile gratuite disponible sur l'App Store et le Play Store, qui permet à chacun de trouver les concerts qui l'intéressent près de chez soi, et d'y aller avec des amis qui partagent les mêmes goûts. La plateforme a créé le premier algorithme de "matching musical". Elle établit un profil musical en fonction de la musique écoutée sur des sites comme Spotify ou Deezer, ce qui lui permet de répondre à l'une des problématiques les plus importantes du secteur de la musique en "live" : 40% des billets de concerts restent invendus chaque année dans le monde, et 92% des mélomanes ont déjà renoncé à aller à un concert car ils ne savaient pas avec qui s'y rendre.
Le jury et les lauréats de Nancy du prix 10000 startups pour changer le monde. (909040.png)
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
100 of 500 DOCUMENTS
Sud Ouest
Vendredi 26 Janvier 2018
DORDOGNE PERIGUEUX EDITION
Le numérique sans trop de hic;
ÉCONOMIE La CCI a organisé hier son premier Salon du numérique
RUBRIQUE: DORDOGNE; Pg. 15
LONGUEUR: 540 mots
ENCART: Objectif : aider les entreprises à mieux aborder la révolution Web car, de toute façon, elles n ont plus le choix
BENOÎT MARTIN
Le numérique est partout. Il le sera encore plus demain. Particuliers ou entreprises : absolument impossible de faire sans lui. Hier après-midi, au Pôle interconsulaire de Coulounieix-Chamiers, le premier Salon du numérique de la Chambre de commerce et d industrie (CCI) de la Dordogne est venu le rappeler concrètement. Cybersécurité, réseaux sociaux, e-commerce, processus en interne, externalisation des données, échanges commerciaux Quelle entreprise peut dire qu elle n est pas concernée par le numérique ?
" C est une révolution qui traverse tous les secteurs d activités et va transformer toutes nos organisations, a souligné le président de la CCI, Christophe Fauvel. Comme le tourisme, le numérique est devenu une priorité de la Chambre. " L année dernière, la CCI a lancé sa plateforme Performance numérique, qui permet de mettre en relation les entreprises qui ont des besoins et celles qui peuvent apporter des solutions. Plus de 300 sociétés périgourdines travaillent dans le domaine. Ce qui fait dire à Christophe Fauvel : " Pas besoin d aller voir ailleurs, la Dordogne a tout ce qu il faut ! " Grâce à ce guichet unique du numérique en Périgord, une entreprise de drones pourra, par exemple, proposer ses services à des couvreurs.
" Repérer ses besoins "
" Il n existe pas une entreprise qui n a pas de besoins numériques, renchérit Michel Parinet, vice-président de la CCI et président de la commission numérique. Comme chaque société est unique, les besoins sont différents de l une à l autre. Il faut juste les repérer et faire en sorte qu ils génèrent du "business". "
Le numérique ? Autant prendre les devants, en faire une force et un levier de croissance plutôt que de le subir D autant qu un nouveau règlement européen sur la protection des données (RGPD) va entrer en vigueur le 25 mai. Il va obliger les entreprises réfractaires à mettre le nez dans le numérique.
Fini, par exemple, les fameuses déclarations à la Commission nationale de l informatique et des libertés (Cnil). La nouvelle législation va obliger les entreprises à garantir, à tout moment, que " les process en place sont conformes, sécurisés et garantissent la confidentialité des données ".
Autre point-clé de ce RGPD : la protection de la vie privée. Concrètement, les paramètres de confidentialité maximale seront cochés par défaut. Dans les entreprises, un " data protection officer " (DPO) devra mettre sur pied les dispositifs adéquats et surveiller tout ça de près. Dans les administrations et certaines sociétés traitant beaucoup de données, ce DPO sera obligatoire.
Si c était nécessaire, cette nouvelle législation vient confirmer que la révolution est en cours et s accélérera toujours. Il n y aura pas de retour en arrière, bien au contraire. Au lieu de se mettre aux normes en traînant les pieds, pourquoi ne pas profiter de l explosion numérique pour accroître contacts, réseaux, innovations, contrats et chiffres d affaires ? Voilà le message que répète la CCI, et ce " depuis des années ", aux entreprises, comme en témoignent les fiches pratiques et les ateliers de formation qu elle distille tout au long de l année.
Au lieu de s y mettre en traînant les pieds, pourquoi ne pas en profiter pour accroître contacts et contrats ?
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: E-commerce et externalisation des données étaient notamment au menu de ce premier salon. PHOTO ARNAUD LOTH
TYPE-PUBLICATION: Journal
Copyright 2018 Sud Ouest
Tous droits réservés
101 of 500 DOCUMENTS
La Tribune.fr
Jeudi 25 Janvier 2018 4:58 PM CET
#10000startups : et les gagnants du Grand Est sont...
RUBRIQUE: TECHNOS & MEDIAS; INNOVATION ET START-UP
LONGUEUR: 861 mots
ENCART: Maintenance préventive des machines industrielles, premier générateur d'électricité hybride, Slack et WhatsApp des médecins, réseau social des passionnés de musique : les lauréats de Nancy et sa région sont connus.
Après Lille, la deuxième étape du tour 2018 du prix #10000 startups pour changer le monde s'est arrêtée à Nancy pour dénicher les pépites du Grand Est. Une quinzaine d'entrepreneurs en herbe ou confirmés ont "pitché" leur projet devant un jury composé de nos partenaires : en plus de La Tribune se trouvaient des représentants de BNP Paribas, Enedis, Mazars, AG2R La Mondiale, WeHealth by Servier et Business France. Au terme d'une matinée abondante en pitchs, le jury a difficilement sélectionné six entrepreneur(e)s, un par catégorie. Tous sont qualifiés pour la grande finale nationale, qui se tiendra à Paris le 6 mars prochain.
Ils affronteront les gagnants issus des sélections à Lille, Lyon, Marseille, Toulouse, Bordeaux, Nantes et Paris. Les lauréats nationaux seront révélés lors d'une cérémonie au Grand Rex le 9 avril, toujours dans la capitale. Dans la catégorie Industrie 4.0, le jury a récompensé Olivier Manette, 40 ans, président de la startup Flod. Son credo : les objets connectés pour la maintenance prédictive sur les sites industriels. Son système breveté d'analyse des vibrations des structures peut détecter et prévenir les anomalies, de manière plus sensible et moins coûteuse qu'une surveillance par caméra ou par hélicoptère. La jeune pousse de Reims de quatre personnes a aussi recours au deep learning pour rendre la détection automatisable. Dans la catégorie Environnement et Transition énergétique, Sébastien Faivre, 33 ans, a bluffé le jury avec h2sys. L'entreprise domiciliée à Belfort, issue d'un transfert d'une technologie développée au CNRS, conçoit le premier générateur hybride à hydrogène, intégrant un système de pile hybridé à un élément de stockage électrique, embarquant des cartes électroniques dotées d'un contrôle intelligent des flux d'énergie. De quoi remplacer les groupes électrogènes polluants et bruyants, et permettre aux particuliers et aux entreprises de bénéficier d'une énergie propre, stockée sans pertes. Dans la catégorie Tech for Good, l'ancrage territorial et les valeurs positives d'Adrien Bodennec ont permis à sa startup By Français de remporter la mise. L'entreprise de Belfort a mis au point un site de vente en ligne (mode, gastronomie) qui commercialise uniquement des produits fabriqués en France par des entreprises ayant un fort impact social et économique sur leur bassin de vie. La startup récupère et analyse les données RH et comptables des entreprises dont elle commercialise les produits, pour établir leur impact économique, visualisé sur une carte de France illustrant les étapes de fabrication du produit, le nombre de salariés associés à l'entreprise et le temps de travail généré par l'achat du produit chez les différents acteurs de la chaîne de fabrication. Ce qui permet au consommateur d'avoir une idée précise de son "pouvoir d'achat" et de soutenir des entreprises éthiques. Dans la catégorie Santé, le lauréat régional est Aurélien Lambert, jeune médecin oncologue de 34 ans et Pdg de PandaLab. Cette jeune startup, créée à Nancy par et pour le personnel soignant, se définit comme le Slack ou le WhatsApp des médecins. Il s'agit d'une messagerie instantanée sécurisée pour envoyer en un éclair toutes les informations, compte-rendus et fichiers dont les médecins et infirmiers ont besoin pour la prise en charge des patients. Des fonctionnalités médicales, comme la création d'ordonnances en un clic ou la lecture d'imagerie médicale directement dans l'application, ont été intégrées. PandaLab est hébergée en France, compatible avec le règlement européen RGPD et certifié par le label M-Health. Dans la catégorie Cloud Data IA, le strasbourgeois Olivier Gene, 39 ans, valorise avec sa startup Lunc les données des clients des sites de mise en relation comme Le Bon Coin, Meetic, ou les plateformes immobilières. Sa plateforme intégrable en marque blanche permet l'amélioration de la conversion client et l'instantanéité du matching entre internautes. Elle apporte une connaissance précise de l'internaute grâce à une solution de téléphonie embarquée dotée d'un module de paiement sécurisé, pour permettre aux internautes de s'appeler en un clic depuis tout site internet en préservant leur numéro. Les données sont analysées et restituées sur un "board". Enfin, dans la catégorie Start, la maturité et l'ambition de Morgane Canastra, 27 ans, ont impressionné le jury. La jeune femme a créé Wyker, une application mobile gratuite disponible sur l'App Store et le Play Store, qui permet à chacun de trouver les concerts qui l'intéressent près de chez soi, et d'y aller avec des amis qui partagent les mêmes goûts. La plateforme a créé le premier algorithme de "matching musical". Elle établit un profil musical en fonction de la musique écoutée sur des sites comme Spotify ou Deezer, ce qui lui permet de répondre à l'une des problématiques les plus importantes du secteur de la musique en "live" : 40% des billets de concerts restent invendus chaque année dans le monde, et 92% des mélomanes ont déjà renoncé à aller à un concert car ils ne savaient pas avec qui s'y rendre.
Le jury et les lauréats de Nancy du prix 10000 startups pour changer le monde.(909040.png)
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
102 of 500 DOCUMENTS
La Tribune.fr
Jeudi 25 Janvier 2018 10:15 AM CET
Cybersécurité : RGPD, hyper-connexion, résilience... les tendances 2018
AUTEUR: Gaëtane Deljurie, à Lille
RUBRIQUE: RÉGIONS; NORD-PAS-DE-CALAIS
LONGUEUR: 832 mots
ENCART: Entre le règlement européen sur la protection des données (RGPD), la multiplication des attaques informatiques de grande ampleur et l'hyperconnexion grandissante, jamais les menaces informatiques n'ont été aussi grandes. Mais les opportunités de business également comme en témoigne l'affluence au Forum international de la cybersécurité qui se déroulait ces 23 et 24 janvier, à Lille.
RGPD. Le désormais fameux Règlement général sur la protection des données était sur toutes les lèvres du Forum international de la Cybersécurité (FIC), organisé à Lille mardi et mercredi derniers. Pour la majeure partie des 200 exposants travaillant dans la sécurité informatique, le RGPD offre des opportunités de business sans précédent. De l'hébergeur français de sites internet OVH, victime d'une cyberattaque massive en 2016, aux start-ups, l'écrasante majorité des exposants de ce forum proposent des offres pour répondre à l'obligation urgente de protéger les données personnelles, applicable par toutes les entreprises européennes dès le 25 mai prochain.
"Comme toutes les sociétés devront désormais signaler les piratages de données personnelles, une chose est sûre : l'actualité va mettre beaucoup plus en avant ces attaques informatiques", prévoit le président de Provadys, Olivier Pantaleo. Tous les experts s'accordent à dire que ce n'est qu'un début. Si les logiciels malveillants WannaCry et Petya ont beaucoup fait parler l'année dernière avec leurs attaques mondiales, Spectre et Meltdown ont déjà donné le ton pour 2018. Développer une résilience face à toutes les attaques Demain, les malwares, ransomwares et autres phishings (en français, virus, logiciels de rançon ou hameçonnage/filoutage) feront partie du quotidien. "La règle numéro 1 en matière de sécurité informatique, c'est l'humilité : on ne sait pas où et quand mais quelqu'un va rentrer un jour dans le système", a résumé Nicolas Villetelle de Trend Micro France SA lors de sa conférence sur l'intelligence connectée. D'où la thématique de la résilience, choisie pour la conférence plénière d'ouverture du Forum. Une résilience omniprésente qui fait dire au directeur CyberSecurity France d'Airbus Defense and Space, Frédéric Julhes, qu'il faut désormais "savoir vivre avec le risque" : "Notre expertise vise justement à détecter ces signaux faibles permettant de détecter ces attaques en amont : la résilience, c'est la capacité à réagir en toute agilité, surtout vis-à-vis des vulnérabilités de type 0-day, ces types d'attaques jamais rencontrées nulle part encore. Les systèmes rigides ne suffisent plus". Ainsi, la start-up Sqreen qui a remporté le prix de la PME innovante du FIC 2018, fournit une solution permettant de détecter les vulnérabilités et prévenir les attaques au sein des applications web. Pile poil dans la tendance des "DevSecOps", intégrant la sécurité directement au sein des applications. La start-up française va d'ailleurs ouvrir des bureaux à San Francisco, la moitié de ses clients étant basée aux Etats-Unis. Hyperconnexion et intelligence artificielle Autre thématique phare du FIC 2018, c'est "l'hyperconnexion" : en multipliant les objets connectés, on élargit considérablement le champ des attaques. Près de 20 milliards de systèmes devraient connectés à horizon 2020 ! "Avec l'éparpillement de la data, la surface d'attaque va devenir incontrôlable. Le flux des informations ira au-delà de nos capacités actuelles à les traiter", poursuit Trend Micro France SA. Heureusement, certains entrevoient déjà le sauveur : l'intelligence artificielle, qui devient de plus en plus efficace à mesure que la quantité de données grandit... Orange Cyberdefense a d'ailleurs suscité beaucoup de curiosité avec son approche "d'intelligence augmentée" qui se nourrit en temps réel des différents modes d'attaque et démultiplie son action avec une capacité de prédiction. Google s'y est mis depuis bien longtemps : "L'intelligence artificielle est tellement puissante qu'elle permet au milliard d'utilisateurs de Google d'être protégé au quotidien des centaines de millions d'attaques", a-t-on entendu lors de la conférence. Pour Jean-Noël de Galzain, star de l'écosystème français de la cybersécurité (à la tête du groupement des pépites de la cybersécurité Hexatrust et de Wallix), les pépites de la cybertech françaises ont réussi à se faire une place dans cette ère de la mobilité et de l'hyper-connexion sur des secteurs de pointe comme "l'identification des utilisateurs, l'authentification, la traçabilité des activités, la gestion des identités et des droits, le chiffrement, etc.."». De nouveaux territoires prometteurs qui compensent la concurrence agressive des nouveaux entrants dans les domaines des anti-virus et de la sécurité périmétrique avec les firewalls, où Hexatrust et Wallix étaient en pointe. Parmi ces start-ups, la très disruptive Prove & Run qui s'est spécialisée dans la sécurité des objets connectés en créant "un tout petit OS proche du zéro bug, afin de justement épauler des systèmes vulnérables", explique Christophe Pagezy, PDG-cofondateur de la société qui travaille aujourd'hui avec l'automobile, le ferroviaire, l'aéronautique... "Aujourd'hui, les enjeux sont tels que les mafieux n'hésitent pas à investir de fortes sommes pour acheter un modèle connecté et à les décortiquer pour voir la faille". Autant dire qu'à côté, le RGPD n'est qu'une simple formalité.
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
103 of 500 DOCUMENTS
La Semaine Juridique - Entreprise et affaires
25 janvier 2018
Utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers;
Ord. n° 2017-1674, 8 déc. 2017 : JO 9 déc. 2017, texte n° 24
AUTEUR: Dominique Legeais, Professeur à l'université Paris Descartes Sorbonne Paris-Cité, Co-Directeur scientifique de la Revue Droit bancaire et financier, auteur du fascicule Blockchain au JurisClasseur commercial
RUBRIQUE: ACTUALITÉ; APERÇU; MARCHÉ FINANCIER N° 04-58
LONGUEUR: 3424 mots
Point-clés: L'ordonnance n° 2017-1674 du 8 décembre 2017 est relative à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers; Elle intéresse le droit des titres non cotés dont la transmission va se trouver favorisée.
1 - Ce texte était attendu et il a une portée considérable. Naturellement, il intéresse le droit des titres non cotés dont la transmission va se trouver favorisée. Il y a ainsi une faveur pour le Private Equity. Mais l'ordonnance donne aussi un nouveau signal fort en faveur de la technologie blockchain qui est une deuxième fois consacrée. La technologie peut en effet être au service des minibonds depuis l'ordonnance du 28 avril 2016, relative aux bons de caisse, modifiant l'article L. 223-12 du Code monétaire et financier (Ord. n° 2016-520, 28 avr. 2016 : JO 29 avr. 2016, texte n° 16 ; V. notamment sur ce texte, JCP E 2016, act. 375). Cette ordonnance fait suite à une consultation en deux temps de la direction du Trésor, elle-même annoncée par la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (L. n° 2016-1691, 9 déc. 2016 : JO 10 déc. 2016, texte n° 2 ; JCP E 2016, act. 982 ; JCP G 2017, act. 3, aperçu rapide J.-M. Brigant ; Dr. sociétés 2016, repère 12 ; M. Roussille, Loi Sapin 2 et droit des sociétés : JCP E 2017, 1048). Plus de 45 réponses ont été données, ce qui démontre l'intérêt de la place pour la technologie blockchain. La réponse d'Europlace consultable sur son site est particulièrement conséquente (V. également, K. Laghar, A. Reygrobellet, J.Sutour et B. Zabala, Les sirènes de la blockchain : mirage ou terre promise : Banque et droit sept-oct. 2017, p. 7).
L'ordonnance répondait à des objectifs clairement rappelés par l'appel à consultation. Il s'agissait de favoriser l'essor des FinTechs en France qui profitent largement du potentiel des nouvelles technologies pour innover et modifier les pratiques existantes (V. L'apport des FinTechs au droit bancaire sous dir. D. Legeais et N. Martial-Braz in RD bancaire et fin. 2017, dossier 11 ; Th. Bonneau et T. Verbiest, Fintech et droit : 2017, RB éd.). Mais, d'un autre côté, dans le même souci de favoriser l'attractivité de notre droit, il convenait de sécuriser les transactions en offrant l'onction législative.
2 - L'ordonnance est relative à l'utilisation d'un dispositif d'enregistrement électronique partagé (DEEP) pour la représentation et la transmission de titres financiers. Le domaine d'application du texte doit être précisé à titre liminaire.
3 - L'ordonnance s'applique au DEEP sans autres précisions. Il s'agit de l'appellation officielle de la technologie blockchain aussi connue sous son nom anglais de DLG (distributed ledger technology). Il en existe une définition : l'article L. 233-12 énonce en effet qu'il s'agit d'un DEEP permettant l'authentification des opérations d'émission et cession des minibonds. La blockchain est ainsi une technologie de stockage et de transmission d'informations, transparente, sécurisée, et fonctionnant sans organe central de contrôle (définition de Blockchain France).
Par extension, une blockchain constitue une base de données qui contient l'historique de tous les échanges effectués entre ses utilisateurs depuis sa création. Cette base de données est sécurisée et distribuée : elle est partagée par ses différents utilisateurs, sans intermédiaire, ce qui permet à chacun de vérifier la validité de la chaîne.
Les titres financiers sont, avec les contrats financiers, l'une des catégories d'instruments financiers. Ils sont eux-mêmes classés en trois catégories : les titres de capital émis par les sociétés par actions, les titres de créances négociables, les parts ou actions d'organismes de placement collectif. Les valeurs mobilières sont une catégorie de titres financiers. Elles confèrent simplement des droits identiques par catégorie.
Les titres sont aujourd'hui dématérialisés et sont représentés par une inscription sur un compte-titres.
Les titres peuvent être nominatifs lorsqu'ils sont inscrits en compte chez l'émetteur. Ils peuvent être au porteur. Ils sont alors inscrits en compte chez un intermédiaire financier habilité.
L'ordonnance ne vise que les titres financiers qui ne sont pas admis aux opérations d'un dépositaire central ni livrés dans un système de règlement et de livraison d'instruments financiers. Il faut ainsi en déduire que seuls les titres non cotés sont concernés.
Il existe deux motifs à cette limitation.
D'une part, s'agissant des titres cotés, le dispositif de transmission est plus complexe.
D'autre part, le dispositif relève de la réglementation européenne. L'État français n'est donc pas libre de légiférer.
Le droit des titres non cotés est cependant un champ d'expérimentation idéal. Il avait été très vite identifié comme étant l'un des domaines dans lequel la blockchain pouvait présenter de l'intérêt en alliant sécurité et rapidité.
4 - L'appel à consultation posait un certain nombre de questions et suggérait des pistes de solutions. L'ordonnance retient celles ayant fait consensus mais ne répond pas à toutes les interrogations. Un décret est annoncé pour fournir les réponses manquantes.
Les choix opérés sont ceux qui confèrent à la blockchain le rôle le plus important. C'est aussi bien la représentation que la transmission des titres non cotés qui sont concernées. Dans les deux cas, le législateur a choisi de poser un principe d'équivalence entre l'inscription sur un compte-titres et l'inscription sur le DEEP. C'est ce qui explique que l'ordonnance ait pu se limiter à quelques ajouts au dispositif légal existant. Seuls quelques articles du Code de commerce et du Code monétaire et financier sont concernés. Le rôle de la blockchain pour la représentation des titres (1) et leur transmission (2) est ainsi précisé. Cependant, l'ordonnance semble devoir avoir une portée qui dépasse largement le domaine strict des titres non cotés. Le texte ouvre des perspectives qu'il convient d'imaginer (3).
Rôle conféré à la blockchain pour la représentation de titres non cotés
5 - Pour mesurer l'apport de l'ordonnance, il convient de décrire le système consacré. Depuis leur dématérialisation, les titres sont aujourd'hui inscrits sur le compte-titres du titulaire. C'est la société émettrice qui tient le rôle de teneur de compte en présence de titres nominatifs.
Le compte-titres constitue une variété de compte dont la fonction est l'individualisation et le transfert de propriété (Th. Bonneau, La notion de compte bancaire : Banque et droit, Hors-série déc. 2016, p. 9). L'inscription sur le compte-titres présume la propriété du titulaire. En application de l'article R. 211-1 du Code monétaire et financier, l'inscription en compte matérialise le titre et établit le droit de propriété de l'actionnaire sur celui-ci. Il existe une présomption de propriété au bénéfice de la personne inscrite de bonne foi (C. mon. fin., art. L. 211-16). Cette règle peut cependant s'avérer délicate à mettre en oeuvre pour les titres non cotés dans la mesure où les registres sont alors tenus par les mandataires sociaux.
6 - L'inscription sur le DEEP pouvait se voir confier différentes fonctions clairement identifiées dans la consultation. Le DEEP pouvait tout d'abord être une technologie alternative à la tenue des comptes titres. Les titres auraient alors continué d'être inscrits dans un compte-titres ouvert au nom du propriétaire des titres. La blockchain pouvait aussi se voir confier une force probatoire. Enfin, il était proposé que les titres financiers soient représentés par une inscription dans le DEEP, soit parce que les inscriptions dans le DLT seraient considérées comme des inscriptions dans un compte-titres, soit parce que la loi le prévoirait explicitement. C'est cette dernière option qui a été choisie comme le révèle la lecture de deux nouvelles dispositions. L'article L. 228-1 du Code de commerce énonce désormais que les valeurs mobilières doivent être inscrites en compte ou dans un DEEP. L'article L. 211-3 du Code monétaire et financier énonce que les titres financiers sont inscrits soit dans un compte-titres tenu par l'émetteur ou par l'un des intermédiaires habilités, soit dans un DEEP. L'alinéa 2 précise quant à lui que « l'inscription dans un dispositif d'enregistrement électronique partagé tient lieu d'inscription en compte». Les titres sont donc directement inscrits sur le DEEP. Ce n'est pas le compte-titres qui est inscrit. Une option offrant des effets identiques à ceux de l'inscription sur un compte-titres est ainsi offerte.
Comme pour le compte-titres, l'inscription dans le DEEP est réalisée au nom d'un ou plusieurs titulaires, propriétaires des titres financiers qui y sont inscrits (C. mon. fin., art. L. 211-4). Par dérogation, l'inscription peut également être réalisée au nom d'un fonds commun de placement, d'un fonds de placement immobilier, d'un fonds professionnel de placement immobilier, d'un fonds de financement spécialisé ou d'un fonds commun de titrisation. Elle peut aussi être réalisée au nom d'un intermédiaire inscrit agissant pour le compte du propriétaire des titres ou au nom d'un intermédiaire inscrit agissant pour le compte d'un ou de plusieurs propriétaires de parts ou d'actions d'OPC.
7 - Toute difficulté n'est pas pour autant écartée. Comme l'énonce l'article L. 211-3, dernier alinéa, « Un décret en Conseil d'État fixe les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d'enregistrement électronique partagé mentionné ci-dessus, présentant des garanties, notamment en matière d'authentification, au moins équivalentes à celles présentées par une inscription en compte-titres ».
Les mêmes principes s'appliquent aux titres de créances négociables (C. mon. fin., art. L. 213-2).
8 - C'est ainsi l'une des fonctions attribuées à toute blockchain, celle de preuve des données qui y figurent, qui est ainsi utilisée. Mais le législateur a aussi choisi d'expérimenter une seconde fonction de la technologie, à savoir sa fonction de validation de transaction de manière sécurisée.
La transmission des titres non cotés
9 - Le régime de la transmission des titres est aujourd'hui précisé par les articles L. 211-17 et suivants du Code monétaire et financier. Ces textes posent des principes essentiels en la matière. Les titres sont négociables. L'article L. 211-17, alinéa 1 précise que le transfert de propriété des titres financiers résulte de l'inscription de ces titres dans le compte-titres de leur acquéreur, ces transferts étant opérés par virement d'un compte d'actionnaire à un autre. Pour les titres financiers non cotés, le Code de commerce énonce que l'inscription en compte de l'acheteur est faite à la date fixée par l'accord des parties et notifiée à la société émettrice. L'inscription en compte constate donc à la fois la propriété des titres et les opérations de transfert.
10 - Concrètement, le transfert se déroule aujourd'hui selon le processus suivant décrit dans le rapport présenté par Europlace (p. 68). La société non cotée dispose d'un livre intitulé Registre de Mouvement de Titres dans lequel sont retranscrites toutes les opérations relatives aux titres de la société. Cette dernière tient aussi un compte d'émission qui retrace l'ensemble des émissions de titres de la société et le volume des titres émis par celle-ci. En pratique, les transferts de propriété sont réalisés au moyen d'ordres de mouvements de titres signés par le cédant au vu desquels la société émettrice constate l'opération intervenue, l'enregistre dans son registre de mouvement de titres puis procède au virement des titres du compte-titres du cédant vers celui du cessionnaire. Il existe un modèle d'ordre annexé à la norme Afnor NF K 12-500.
Les comptes-titres des actionnaires sont généralement établis sous forme de feuillets individuels réservés à un titulaire de titres à raison de sa propriété.
La société émettrice inscrit dans le registre de mouvement les opérations de transfert par ordre chronologique (C. com., art. R. 228-9). Ce système peut s'avérer contraignant pour des sociétés comprenant de nombreux actionnaires, par exemple dans le cadre du crowdfounding.
11 - Dans sa consultation, le ministère avait fait des propositions conduisant à faire jouer à la blockchain un rôle plus ou moins important. La technologie pouvait être un outil permettant d'effectuer des virements de compte à compte, sans modifier le droit actuel qui repose sur la transmission des titres financiers. Les enregistrements dans le DEEP pouvaient se voir conférer une force de preuve juridique du transfert de propriété des titres concernés, sans représenter eux-mêmes ce transfert. Le transfert de propriété, dans un tel cas, résulterait toujours de l'inscription des titres au compte-titres de l'acheteur. Le rôle de l'inscription sur le DEEP pourrait être la transmission des titres. Une option était alors offerte. Les titres seraient transmis soit parce qu'un enregistrement constituerait un virement de compte à compte, soit parce que la loi prévoirait explicitement ce nouveau mode de transmission. C'est cette dernière option qui a été consacrée, comme le révèle la lecture de l'article L. 211-15 du Code monétaire et financier : « Les titres financiers se transmettent par virement de compte à compte ou par inscription dans un dispositif d'enregistrement électronique partagé ». Il est ainsi clairement précisé que l'inscription dans le DEEP n'est pas un virement de compte à compte. La solution consacrée est cohérente avec celle retenue pour les minibons puisque l'article L. 223-13 du Code monétaire et financier énonce que « Le transfert de propriété de minibons résulte de l'inscription de la cession dans le dispositif d'enregistrement électronique mentionné à l'article L. 223-12, qui tient lieu de contrat écrit pour l'application des articles 1321 et 1322 du Code civil ».
Les dispositions du Code monétaire et financier relatives au transfert de propriété des titres financiers sont modifiées en conséquence. Ainsi, l'article L. 211-16 énonce-t-il que « nul ne peut revendiquer pour quelque cause que ce soit un titre financier dont la propriété a été acquise de bonne foi par le titulaire du compte-titres dans lequel ces titres sont inscrits ou par la personne identifiée par le dispositif d'enregistrement électronique partagé ». L'article L. 211-17 précise quant à lui que « le transfert de propriété de titres financiers résulte de l'inscription de ces titres au compte-titres de l'acquéreur ou de l'inscription de ces titres au bénéfice de l'acquéreur dans un dispositif d'enregistrement électronique partagé ».
12 - Les transferts de propriété ne sont pas les seuls à être concernés. En effet, l'article L. 211-20 du Code monétaire et financier, relatif au nantissement de compte-titres, est aussi affecté. Un nouvel alinéa énonce en effet qu'un décret doit préciser les modalités d'application du présent article aux nantissements de titres financiers inscrits dans un DEEP. Il existe en effet une difficulté dans la mesure où le nantissement a pour assiette le compte-titres alors que les titres sont inscrits directement dans le DEEP. Il faut admettre un nantissement portant directement sur les titres mentionnés.
13 - L'ordonnance s'en tient à ces principes renvoyant pour le complément des mesures au décret qui devra intervenir avant le 30 juin 2018 pour que la loi puisse entrer en application le 1er juillet 2018.
Il convient toutefois de ne pas sous-estimer les difficultés restant à traiter. Il y va de la confiance dans le système. Cela conditionne donc le succès de l'expérimentation et, par voie de conséquence, l'avenir de la blockchain.
La consultation évoquait certaines interrogations. Celles liées à l'authentification et à l'identification des propriétaires sont importantes. C'est qu'il faut aujourd'hui respecter des règles imposant des contraintes contradictoires. Le dispositif doit être conforme au droit des données personnelles tel qu'il est en passe d'être réformé en profondeur par le RGPD (PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016 : JOUE n° L. 119, 4 mai 2016 ; JCP E 2016, dossier 1323 à dossier 1329) et la loi française annoncée (Projet de loi n° 490, 13 déc. 2017 : JCP E 2017, act. 916). Le dispositif doit aussi rendre possible le Know your customer (KYC), instrument de lutte contre le blanchiment d'argent ou le financement des capitaux.
Même si le législateur se veut neutre quant à la technologie utilisée, il conviendra peut-être de préciser les caractéristiques techniques de la blockchain (ouverte, fermée ou de consensus) afin que les règles de gouvernance soient satisfaisantes. Il pourrait aussi être indiqué si l'usage des crypto-monnaies est autorisé.
Le droit des sociétés devra aussi être précisé afin que les conditions du choix en faveur du DEEP pour remplacer la règle classique de l'inscription sur compte-titres soient précisées. Faut-il une clause des statuts, un accord ou une information des actionnaires ?
14 - D'ores et déjà des FinTechs seules ou associés à des établissements d'envergure se déclarent prêtes à jouer le jeu et à tenter l'expérimentation. Elles mettent en avant les avantages et opportunités du nouveau dispositif. SmartAngels s'est ainsi associée avec BNP pour expérimenter ce système. La plateforme, qui permet d'enregistrer les opérations sur les marchés primaires et secondaires, s'adressera aux émetteurs, aux actionnaires, aux investisseurs (business angels, investisseurs du capital-risque et du capital développement), aux plateformes de crowdfunding, mais aussi aux avocats, notaires, experts-comptables et aux banques.
Unocat, autre FinTech s'est aussi positionnée. Labellisée ce jour par le pôle Finance Innovation, la plateforme nouvelle génération a pour objectif d'interconnecter l'ensemble de la chaîne d'enregistrement et d'en simplifier à l'extrême l'intégralité des échanges. « Avec Catalizr, les investisseurs sélectionnent leur PEA directement depuis la plateforme de crowdfunding au moment de la souscription des parts ».
15 - Si l'expérimentation est un succès, ce texte ne peut être qu'une étape vers une évolution future dont il est permis d'esquisser quelques traits.
Les perspectives offertes par la réforme
16 - L'expérience encouragée par cette ordonnance pourrait constituer une étape décisive dans le processus de consécration de la technologie. C'est que, par ce texte, le législateur confère une valeur probatoire à la technologie. Or, ce qui est possible pour un cas précis à vocation à être généralisé. C'est la première consécration qui est toujours essentielle. Les exemples récents abondent, qu'il s'agisse de la fiducie, de la SAS ou du patrimoine d'affectation.
Il est dès lors permis de penser qu'à la suite de cette expérience d'autres consécrations viendront Assez naturellement, les titres cotés devraient être concernés. Des réflexions et des projets sont déjà aboutis pour améliorer le processus de règlement-livraison des titres (A.-Cl. Rouaud, L'application de la technologie des registres distribués dans le domaine du post-marché : évolution ou révolution, in Mél. J.-J. Daigre : Joly éd., 2017, p. 635). En réalité, comme le souligne le rapport Europlace, les applications pourraient être nombreuses pour le marché primaire, secondaire pour le post marché et la gestion collective. Mais au-delà de la sphère financière, ce sont tous les secteurs qui pourraient être concernés dès lors que la technologie est validée comme mode de preuve. La blockchain pourrait alors remplacer tout type de registre. Pour qu'il puisse en être ainsi, il est cependant nécessaire que la technologie soit consacrée dans le Code civil comme règle probatoire.
Il est toutefois préférable d'attendre pour qu'il en soit ainsi. Il faut se laisser du temps pour faire un bilan de la technologie. N'oublions pas qu'elle suscite encore bon nombre d'interrogations essentielles sur les plans éthiques, économiques et juridiques (D. Legeais, La blockchain : JCl. Commercial, Fasc. 534 ; M. Mekki, Les mystères de la blockchain : D. 2017, p. 2160). Il faut donc se garder de tout excès et le juriste se doit de conserver une certaine prudence avant de consacrer totalement cette avancée technologique. Il est en effet encore trop tôt pour dire s'il s'agit d'un véritable progrès ou d'une bulle technologique prête à éclater.
Mots-clés: Marché financier; Titre financier; Transmission; Représentation; Dispositif d'enregistrement électronique partagé; Ord. n° 2017-1674, 8 déc. 2017
DATE-CHARGEMENT: 25 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Editions du Juris Classeur
Tous droits réservés
104 of 500 DOCUMENTS
La Semaine Juridique - Entreprise et affaires
25 janvier 2018
RGPD : les bonnes résolutions 2018 !
AUTEUR: Étude rédigée par Matthieu Bourgeois, avocat associé, spécialiste en droit des nouvelles technologies, de l'informatique et de la communication; Franck Régnier-Pécastaing, expert en gouvernance de la donnée, président de Verve Consultants; et Denis Pélanchon, expert en cybersécurité, Axis & Co
RUBRIQUE: ETUDE; INFORMATIQUE N° 04-1036
LONGUEUR: 6112 mots
RESUME:
Le 25 mai prochain les organisations, qu'elles soient du secteur public ou privé, seront confrontées à l'entrée en application des sanctions prévues par le Règlement général sur la protection des données 2016/679 (« RGPD »), car toutes traitent, sans même en avoir toujours conscience, des données à caractère personnel. Selon le livre blanc, 9 % des entreprises françaises déclaraient être déjà conformes à ce texte, le reste déclarant avoir planifié des initiatives avant fin 2017 (19 %), les planifier en 2018 (30 %), ou, enfin, n'avoir encore rien planifié car elles prenaient tout juste conscience de ce texte (42 %). Lorsque l'on connaît l'ampleur des nouvelles obligations prévues par ce règlement, on mesure d'autant mieux le défi que représente ce chantier pour 2018, qui ne doit pas être réduit à une dimension uniquement juridique.
TEXTE:
Déjà 2018 ! La période des voeux pour cette nouvelle année vient rappeler que ce millésime ne sera pas ordinaire pour ceux qui ont entendu parler du RGPD mais aussi - et surtout - pour les autres.
En effet, qu'elles soient du secteur public ou privé, les organisations seront confrontées, le 25 mai prochain, à l'entrée en application des sanctions prévues par le Règlement général sur la protection des données 2016/679 (« RGPD »)1, car toutes traitent - sans même en avoir toujours conscience - des données à caractère personnel (catégorie qui - on ne le rappellera jamais assez - vise toute donnée permettant d'identifier, même indirectement, une personne physique, aussi bien dans un contexte B2C que B2B). Beaucoup d'entre elles ne sont pas prêtes. Selon le livre blanc2 publié en juin 2017 par IDC (« International Data Corporation »), 9 % des entreprises françaises déclaraient être déjà conformes à ce texte, le reste déclarant avoir planifié des initiatives avant fin 2017 (19 %), les planifier en 2018 (30 %), ou enfin n'avoir encore rien planifié car elles prenaient tout juste conscience de ce texte (42 %). Lorsque l'on connaît l'ampleur des nouvelles obligations prévues par ce règlement, on mesure d'autant mieux le défi que représente ce chantier pour 2018, qui ne doit pas être réduit à une dimension uniquement juridique.
Au-delà des enjeux purement réglementaires et des amendes prévues par ce texte, le RGPD traduit en effet une exigence plus fondamentale : celle de professionnaliser l'usage de la donnée. Cette exigence est un enjeu de maturité et de compétitivité pour toutes les organisations : faute de le faire, c'est leur position sur le marché et donc - à terme - leur existence qui pourrai(en)t être menacée(s). Ainsi, la mise en conformité avec le RGPD n'est pas une option : c'est une résolution à prendre et à mettre en oeuvre pour 2018 !
La clé pour tenir cet engagement : mobiliser, professionnaliser et transformer. Le RGPD n'est pas un simple projet à horizon 2018. C'est une métamorphose de la façon de gérer les données qui est attendue, augurant de la nécessaire transformation numérique que doivent réaliser toutes les organisations afin d'intégrer le caractère stratégique d'un usage optimal de la donnée. Pour y parvenir, elles doivent se doter de compétences et d'outils. Cette approche permet de libérer le chantier RGPD du prisme réducteur de la contrainte, pour en faire un levier de transformation.
La réussite de ce chantier exige de bien identifier ce qu'il faut faire et comment le faire. L'intervention conjuguée de plusieurs expertises sera un facteur clé de succès.
Que faut-il faire ?
Le RGPD impose une série d'obligations juridiques auxquelles il faut, a minima, répondre. Mais s'en tenir à cette approche « Tout Juri », sans prendre en compte les autres dimensions, serait notoirement insuffisant car le maintien de la conformité dans le temps exige l'implication de tous dans la gestion de la donnée. Il faut donc aller au-delà de la lettre du texte pour répondre à son esprit, lequel exige, d'une part, la mise en place d'une gouvernance des données sous l'angle organisationnel et métier, et, d'autre part, le déploiement d'une politique de protection des données contre les menaces qui, dans un monde de plus en plus connecté, se professionnalisent et se généralisent.
Ainsi, l'objectif sera de parvenir à un optimum en transposant au sein de l'organisation, non seulement les obligations juridiques du RGPD mais également des règles de gouvernance et de protection de la donnée. L'organisation répondra alors à l'évolution du temps en intégrant à ses opérations métiers la première norme du XXIe siècle sur les données.
Répondre aux obligations juridiques du RGPD par une démarche rationnelle
Le RGPD reprend une très grande partie des règles prévues par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (« LIL »). À ces règles déjà en vigueur, le RGPD ajoute quelques nouvelles obligations. Aussi, la démarche de mise en conformité devra viser ces deux corps de règles, en concentrant l'effort sur les traitements stratégiques correspondant au coeur de métier ou qui sont le plus à risque.
Les organisations devront tout d'abord se conformer aux nouvelles obligations du RGPD qui, pour les principales d'entre elles, sont les suivantes :
constitution d'un registre des activités de traitement ; cela impliquera de recenser, décrire, classer les traitements qu'il faut appréhender par finalité(s), et non par opération(s) technologique(s) ;constitution d'un registre des activités de traitement ; cela impliquera de recenser, décrire, classer les traitements qu'il faut appréhender par finalité(s), et non par opération(s) technologique(s) ;
désignation d'un DPO (« Data Protection Officer », en français « Délégué à la Protection des Données ») pour certains types de traitements ; cela exigera tout d'abord d'identifier les traitements qui sont éventuellement concernés par cette obligation, puis de recruter (en interne ou à l'extérieur) le profil adéquat (qu'il faudra éventuellement former), et, enfin, d'aménager ses conditions de travail afin de satisfaire aux exigences rigoureuses d'indépendance posées en la matière par le RGPD ;désignation d'un DPO (« Data Protection Officer », en français « Délégué à la Protection des Données ») pour certains types de traitements ; cela exigera tout d'abord d'identifier les traitements qui sont éventuellement concernés par cette obligation, puis de recruter (en interne ou à l'extérieur) le profil adéquat (qu'il faudra éventuellement former), et, enfin, d'aménager ses conditions de travail afin de satisfaire aux exigences rigoureuses d'indépendance posées en la matière par le RGPD ;
réalisation d'analyses d'impact (en anglais « Data Protection Impact Assessment » ou « DPIA ») exigées avant la mise en oeuvre de certains traitements générant des risques élevés ; cela nécessitera d'utiliser un outil (méthodologique et/ou logiciel) et de former les personnes afin d'identifier les traitements concernés (au moyen d'une macro-DPIA par exemple), puis de mener une DPIA plus poussée le cas échéant ;réalisation d'analyses d'impact (en anglais « Data Protection Impact Assessment » ou « DPIA ») exigées avant la mise en oeuvre de certains traitements générant des risques élevés ; cela nécessitera d'utiliser un outil (méthodologique et/ou logiciel) et de former les personnes afin d'identifier les traitements concernés (au moyen d'une macro-DPIA par exemple), puis de mener une DPIA plus poussée le cas échéant ;
mise à jour des mentions d'informations et du dispositif de recueil du consentement (pour les traitements qui y sont soumis) ; cela impliquera de réaliser un audit des supports concernés (questionnaire de collecte, politique de confidentialité, conditions générales...) ;mise à jour des mentions d'informations et du dispositif de recueil du consentement (pour les traitements qui y sont soumis) ; cela impliquera de réaliser un audit des supports concernés (questionnaire de collecte, politique de confidentialité, conditions générales...) ;
mise à jour des contrats entre acteurs de traitement(s) ; cela nécessitera d'effectuer une revue exhaustive de l'ensemble des contrats conclus avec les sous-traitants et responsables conjoints en matière de données (catégories qui ne se limitent pas aux prestataires informatiques, mais peuvent également viser d'autres prestataires - par exemple, des agences de communication - qui sont amenés à accéder ou à manipuler des données) ;mise à jour des contrats entre acteurs de traitement(s) ; cela nécessitera d'effectuer une revue exhaustive de l'ensemble des contrats conclus avec les sous-traitants et responsables conjoints en matière de données (catégories qui ne se limitent pas aux prestataires informatiques, mais peuvent également viser d'autres prestataires - par exemple, des agences de communication - qui sont amenés à accéder ou à manipuler des données) ;
mise en place de procédures et dispositifs pour répondre :mise en place de procédures et dispositifs pour répondre :
aux nouvelles exigences de Privacy by Design/by default. À ce sujet, il faudra mettre en place des procédures d'analyse et de validation avant toute mise en oeuvre d'un traitement, qu'il faudra documenter (trace écrite),
aux nouvelles obligations de notification en cas de survenance de certaines violations de données (dans les 72 heures à l'égard de la CNIL, et dans les meilleurs délais à l'égard des victimes),
aux nouveaux droits des personnes (portabilité, limitation, effacement - chacun applicable uniquement dans certains cas).
Ensuite, et à l'occasion de cette démarche, les organisations devront vérifier qu'elles sont en conformité avec les obligations de la LIL, notamment celles reprises par le RGPD comme :
les conditions de licéité du traitement (finalité légitime et s'appuyant sur un fondement juridique valable, proportionnalité des données et de la durée de conservation...) ;les conditions de licéité du traitement (finalité légitime et s'appuyant sur un fondement juridique valable, proportionnalité des données et de la durée de conservation...) ;
l'encadrement des transferts de données vers des pays tiers ;l'encadrement des transferts de données vers des pays tiers ;
la mise en place de mesures de sécurité (adaptées aux risques identifiés).la mise en place de mesures de sécurité (adaptées aux risques identifiés).
Cette mise en conformité permettra à l'organisation de réduire ses risques juridiques (amende, dommages et intérêts, nullité de contrat...) et opérationnels (perte ou divulgation de données...). Toutefois l'ampleur de l'effort à réaliser plaide en faveur d'une ambition plus stratégique pour ce chantier : réduire les risques n'est pas suffisant ; c'est aussi de la transformation de l'entreprise qu'il est réellement question en « dé-silotant » les périmètres d'intervention entre les métiers, en interrogeant le rapport entre processus et données, en cherchant non pas à répondre seulement par la contrainte juridique ou sécuritaire mais aussi par l'opportunité métier afin de viser l'optimum.
La gouvernance de la donnée a pour mission d'assimiler la stratégie, les objectifs et la conjoncture de l'entreprise tout en assurant l'ensemble des contraintes (juridiques, sécuritaires). Ainsi, agir sur la donnée n'intervient plus seulement en réaction, mais devient vecteur de transformation. De fait, cette démarche ne s'inscrit pas dans le temps court, dans un petit projet de mise en conformité pauvrement budgété et mis en oeuvre, mais écrit une histoire dont le premier chapitre peut répondre à la problématique RGPD de l'entreprise, par exemple, parce que celle-ci industrialise son registre avec un outil étant compatible avec la gouvernance de la donnée.
Ainsi est induite la structuration d'une organisation dédiée, ayant pour but de diminuer risques et coûts, d'améliorer la performance de l'entreprise au travers des apports des données aux processus, d'innover et d'ouvrir de nouveaux marchés par la digitalisation des services ou de la production. Tout cela est rendu possible par une meilleure mobilisation des données.
Enfin, la monétisation directe des informations détenues par l'entreprise devient possible si elle sait en raffiner la valeur ou exploite un gisement en collectant d'importants volumes.
L'inscription dans un temps long, au travers d'une histoire partagée, sous-tendue d'objectifs stratégiques, permet l'outillage des initiatives, le maintien dans le temps des dispositifs et du niveau d'information, de compétences et de savoir-faire nécessaires à la prise en compte des problématiques par l'ensemble des populations concernées de l'entreprise (et pas seulement par le DPO, le RSSI ou le DSI).
À titre d'exemple de ces bonnes pratiques et de leur impact économique, citons l'ensemble des « Entreprises Plateformes » dont les succès sont maintenant bien connus du public : les GAFA bien entendu (Google, Apple, Facebook, Amazon) mais aussi une partie des BATX (Baidu, Alibaba) ou des NATU (Netflix, AirBnB, UBER). Ces entreprises offrent une riche expérience utilisateur, expérience qui permet la captation d'informations déterminantes tant pour l'enrichissement de l'expérience elle-même que pour la valorisation du profil utilisateur par l'entreprise. Sous ces figures de proue, c'est tout un écosystème de parties prenantes qui bénéficie du maillage orchestré par ces puissances centralisatrices, maillage formalisé par l'échange de données (des données personnelles mais pas seulement).
Au-delà du droit : optimiser et sécuriser l'usage de la donnée
Ainsi, il est possible de profiter à plein de la contrainte RGPD afin que l'effort à fournir bénéficie aussi à la structuration d'une approche métier basée sur la donnée. C'est d'ailleurs ce qu'ont commencé à faire certaines industries, qui ont été les premières à formaliser leur approche à la suite de contraintes réglementaires - la banque et l'assurance sous l'impulsion de Bâle3, FATCA4, Dodd-Frank5 ou Solvency6 par exemple.
Pour autant cela ne semble pas encore suffisant car il faut répondre aux coups de boutoir de modèles économiques disruptifs rendus possibles par l'évolution technologique. Tout le monde se souviendra du naufrage de Kodak, leader mondial de la photographie créé en 1881 qui se déclara en redressement judiciaire (chapter 11) en 2012, submergé et rendu obsolète par la photo numérique. Dans notre contexte orienté « Donnée », l'histoire de l'Internet commercial a déjà vu des changements de paradigme ayant violemment remis en question ou anéanti la position de leader de certains acteurs - notons les difficultés de Microsoft depuis le milieu des années 1990 pour ne pas avoir cru suffisamment dans Internet puis dans les smartphones7. Microsoft a ainsi laissé de la place, en particulier pour Apple et Google (OS, plateforme média, téléphonie, tablettes), et pour Amazon (cloud).
De même, notons le recul de Yahoo!, premier géant de l'ère Internet, déchu au passage de l'Internet 1.0 à l'Internet 2.0 au bénéfice des GAFA, en particulier Google.
Dans le contexte de l'internet 3.0 naissant, basé sur des technologies de confiance, plus ou moins distribuées et ouvertes de type blockchain (publique, permissionnée ou privée) et des capacités d'analyses opérationnelles (BigData et IA), comment résisteront les GAFA, BATX, NATU, mais aussi des acteurs institutionnels plus traditionnels et ancestraux comme les banques, les établissements de crédit, les assurances... ou encore des métiers comme notaires, avocats ou huissiers de justice... Quels bouleversements pour les services publics ou pour une mobilisation nouvelle des citoyens (civitech) ?
Nos révolutions s'enchaînent et s'accélèrent et la suivante verra, comme toujours, l'effondrement et la disparition des entités qui n'auront pas su s'adapter.
Pour s'adapter, le RGPD est un des sujets pris en compte et nécessite, pour cela, d'être inclus au cadre de gouvernance (ou Framework). Une organisation qui voudrait penser le RGPD puis agir en cohérence sans se doter d'une vision d'ensemble n'opérera dans les faits qu'une mise en conformité de surface et obérera le maintien dans la durée des obligations et compétences associées.
La constitution du cadre passe par l'identification de ses piliers, c'est-à-dire l'identification des objectifs et contraintes soumis au cadre (objectifs stratégiques, commerciaux, humains... mais aussi contraintes réglementaires diverses, voire obligations librement consenties comme une charte éthique par exemple). Ensuite le cadre est complété par les leviers, c'est-à-dire les moyens d'actions disponibles comme la formation et la conduite du changement, l'outillage et l'architecture du système d'information ou encore l'organisation (instances, rôles, responsabilités, RH...). Chaque objectif (levier) peut être complété ou détaillé ; ainsi le pilier réglementaire s'enrichit maintenant du RGPD. De même, les leviers peuvent être affinés.
Une fois posé, le cadre peut se décliner en matrice permettant, soit pour l'ensemble des objectifs et contraintes (piliers), soit pour un pilier ou sous-pilier en particulier (ex. RGPD) d'identifier le niveau de maturité de l'organisation sur les/le sujet(s). Ainsi, pour le périmètre étudié (global ou particulier), on posera les leviers en abscisse et des degrés de maturité en ordonnée. Au croisement d'un moyen d'action et d'un degré de maturité, on posera la définition de ce degré pour ce moyen. Une telle matrice permet à l'organisation de se situer sur l'échelle des possibles.
Enfin, cette matrice se décline en plan d'actions, car pour chaque levier, le passage d'un degré de maturité au suivant se fait par l'addition des actions nécessaires. Ainsi, il est possible de décliner un plan d'action pour passer de niveau en niveau pour chaque moyen d'action (construction d'une trajectoire).
Sur le terrain de la sécurité, le RGPD prévoit deux catégories d'obligations :
la première (articles 35 et 36), nous l'avons déjà vu, impose à toutes les organisations de procéder à une analyse des risques avant la mise en place de certains traitements susceptibles « d'engendrer un risque élevé pour les droits et libertés des personnes physiques » (à savoir, notamment, ceux impliquant une « surveillance systématique à grande échelle d'une zone accessible au public » ainsi que le profilage entraînant une « prise de décision automatisée produisant des effets juridiques ») ;la première (articles 35 et 36), nous l'avons déjà vu, impose à toutes les organisations de procéder à une analyse des risques avant la mise en place de certains traitements susceptibles « d'engendrer un risque élevé pour les droits et libertés des personnes physiques » (à savoir, notamment, ceux impliquant une « surveillance systématique à grande échelle d'une zone accessible au public » ainsi que le profilage entraînant une « prise de décision automatisée produisant des effets juridiques ») ;
la seconde (article 32), de portée plus générale, impose à toutes les organisations de mettre en place une véritable politique de sécurité pour l'ensemble de leurs traitements de données à caractère personnel qui s'articulera en deux temps : l'identification de la menace, d'abord, suivie de la réponse appropriée à cette menace.la seconde (article 32), de portée plus générale, impose à toutes les organisations de mettre en place une véritable politique de sécurité pour l'ensemble de leurs traitements de données à caractère personnel qui s'articulera en deux temps : l'identification de la menace, d'abord, suivie de la réponse appropriée à cette menace.
Pour mettre en oeuvre cette seconde obligation, il est utile de se référer aux outils publiés par la CNIL en juin 20158 qui reprennent les grandes lignes de la méthode « EBIOS » (pour « Expression des Besoins et Identification des Objectifs de Sécurité »). Conçue par l'Agence nationale de la sécurité et des systèmes d'information (ANSSI) et très largement adoptée par les entités du secteur public, cette méthodologie exige notamment de prendre en compte :
les valeurs à protéger : patrimoine informationnel et/ou réputation de l'organisation, poursuite d'activité, pérennité de l'activité ;les valeurs à protéger : patrimoine informationnel et/ou réputation de l'organisation, poursuite d'activité, pérennité de l'activité ;
les événements redoutés : accès illégitime aux données, destruction non souhaitée ou inaccessibilité des données, modification non autorisée des données ;les événements redoutés : accès illégitime aux données, destruction non souhaitée ou inaccessibilité des données, modification non autorisée des données ;
les sources de risque : humaine (personnes internes ou externes à l'organisme) ou naturelle (incendie d'origine naturelle, inondation, tremblement de terre, faits commis par un organisme vivant tel qu'un rongeur, insecte, végétal, qui pourrait détériorer des infrastructures informatiques).les sources de risque : humaine (personnes internes ou externes à l'organisme) ou naturelle (incendie d'origine naturelle, inondation, tremblement de terre, faits commis par un organisme vivant tel qu'un rongeur, insecte, végétal, qui pourrait détériorer des infrastructures informatiques).
Il conviendra donc d'établir une cartographie des risques en s'appuyant sur cette méthode, ce qui permettra de classer par ordre de priorité les actions de prévention et de traitement de ceux-ci. L'évaluation du niveau de risque permettra à l'entreprise d'établir des priorités et de définir les principes de sa politique de sécurité.
Une fois la menace identifiée, il faudra y répondre de façon efficace. Outre les mesures juridiques (notamment l'encadrement contractuel des relations avec les sous-traitants ou les collaborateurs de l'entreprise), et l'éventuel recours à des assurances spécifiques couvrant les risques cyber, la réponse à la menace implique des mesures organisationnelles et techniques.
Sur le plan organisationnel, la mise en place d'un processus de pilotage de la sécurité des données implique notamment de :
dégager une classification des données à protéger qui seront ensuite soumises à des restrictions d'accès et/ou d'usage adaptées ;dégager une classification des données à protéger qui seront ensuite soumises à des restrictions d'accès et/ou d'usage adaptées ;
se doter des moyens de détection des atteintes possibles ainsi que d'outils et d'une organisation permettant de réagir et d'en limiter rapidement les effets préjudiciables ;se doter des moyens de détection des atteintes possibles ainsi que d'outils et d'une organisation permettant de réagir et d'en limiter rapidement les effets préjudiciables ;
nommer un responsable de la sécurité des systèmes d'information (« RSSI ») ou équivalent, disposant de moyens humains et financiers adaptés, nouant un partenariat fort avec la direction de l'organisation ;nommer un responsable de la sécurité des systèmes d'information (« RSSI ») ou équivalent, disposant de moyens humains et financiers adaptés, nouant un partenariat fort avec la direction de l'organisation ;
mettre en place des procédures visant à impliquer le RSSI et ses équipes dans toute initiative stratégique ou tout nouveau projet, afin que les éventuels risques soient identifiés et donnent lieu systématiquement à une réponse adaptée ;mettre en place des procédures visant à impliquer le RSSI et ses équipes dans toute initiative stratégique ou tout nouveau projet, afin que les éventuels risques soient identifiés et donnent lieu systématiquement à une réponse adaptée ;
mettre en place une stratégie de sensibilisation et de formation des salariés et des tiers, afin d'expliquer les risques et les menaces pesant sur les données ainsi que leur impact potentiel, puis diffuser largement les règles applicables ;mettre en place une stratégie de sensibilisation et de formation des salariés et des tiers, afin d'expliquer les risques et les menaces pesant sur les données ainsi que leur impact potentiel, puis diffuser largement les règles applicables ;
mettre en place des dispositifs de contrôle de sécurité permettant d'identifier et de traiter rapidement des éventuelles failles ou défauts de sécurité.mettre en place des dispositifs de contrôle de sécurité permettant d'identifier et de traiter rapidement des éventuelles failles ou défauts de sécurité.
Sur le plan technique, la protection des données se traduira par la mise en place d'outils permettant d'automatiser les mécanismes de protection ; adaptés aux profils des risques identifiés et devant régulièrement être revus, ces mécanismes se traduiront notamment par la mise en oeuvre des mesures suivantes :
l'identification/authentification des utilisateurs ;l'identification/authentification des utilisateurs ;
le contrôle d'accès ;le contrôle d'accès ;
le filtrage des flux ;le filtrage des flux ;
le chiffrement ;le chiffrement ;
la détection et réaction.la détection et réaction.
Comment faut-il le faire ?
Le chantier RGPD exige l'implication de différentes parties prenantes, en faisant intervenir, de manière conjuguée, plusieurs expertises : juridique, gouvernance, architecture, sécurité, SI, métier...
Une revue des principales nouvelles obligations prévues par ce texte permet, ainsi, de mieux se convaincre que ces différentes expertises sont indispensables pour permettre une mise en conformité rapide et pérenne. Cette collaboration, naturelle dans les organisations les plus matures, nécessitera une modernisation, voire une véritable métamorphose, dans les autres. Pour celles dont le coeur d'activité est centré autour de l'usage de la donnée, on parlera de « datamorphose ».
Une approche interprofessionnelle et convergente de la donnée
Une approche interprofessionnelle permettra tout d'abord de répartir la charge de travail, générée par le RGPD, sur les différentes expertises, que celles-ci soient internes ou externes à l'organisation.
Ainsi, pour ne prendre que quelques exemples :
concernant le DPO, l'identification des traitements concernés par l'obligation de désignation puis la rédaction du contrat (de travail ou de prestation de services) sera l'affaire du juridique, tandis que l'aide au choix du profil/candidats, la validation de la fiche de poste, la formation et l'outillage du DPO relèvera des expertises gouvernance/SI/sécurité/métier ;concernant le DPO, l'identification des traitements concernés par l'obligation de désignation puis la rédaction du contrat (de travail ou de prestation de services) sera l'affaire du juridique, tandis que l'aide au choix du profil/candidats, la validation de la fiche de poste, la formation et l'outillage du DPO relèvera des expertises gouvernance/SI/sécurité/métier ;
pour le registre, il reviendra à l'expertise gouvernance d'établir une liste des traitements à partir de la documentation SI et organisationnelle, à l'expertise sécurité de recenser les mesures de sécurité alors que l'expertise juridique pourra capter les informations utiles à travers les documents juridiques tels que les contrats ;pour le registre, il reviendra à l'expertise gouvernance d'établir une liste des traitements à partir de la documentation SI et organisationnelle, à l'expertise sécurité de recenser les mesures de sécurité alors que l'expertise juridique pourra capter les informations utiles à travers les documents juridiques tels que les contrats ;
la mise en place de procédures pour satisfaire aux exigences du « privacy by design/by default », ainsi que pour répondre aux nouveaux droits des personnes et aux obligations de notification en cas de violation de données, exigera des compétences organisationnelles, en architecture fonctionnelle et technique, en sécurité qui compléteront utilement l'expertise juridique pour valider et au besoin outiller ces procédures ;la mise en place de procédures pour satisfaire aux exigences du « privacy by design/by default », ainsi que pour répondre aux nouveaux droits des personnes et aux obligations de notification en cas de violation de données, exigera des compétences organisationnelles, en architecture fonctionnelle et technique, en sécurité qui compléteront utilement l'expertise juridique pour valider et au besoin outiller ces procédures ;
la revue des contrats avec les prestataires sollicitera en premier lieu l'expertise juridique, qui pourra utilement être complétée par une expertise gouvernance/SI pour aider au choix des sous-traitants, rationaliser le recours à la sous-traitance, et l'expertise sécurité pourra revoir les politiques de sécurité de ces derniers, ainsi que les auditer, aussi bien avant que pendant l'exécution du contrat.la revue des contrats avec les prestataires sollicitera en premier lieu l'expertise juridique, qui pourra utilement être complétée par une expertise gouvernance/SI pour aider au choix des sous-traitants, rationaliser le recours à la sous-traitance, et l'expertise sécurité pourra revoir les politiques de sécurité de ces derniers, ainsi que les auditer, aussi bien avant que pendant l'exécution du contrat.
Une organisation optimisée autour de la donnée
Le RGPD oblige les organisations à progresser. En fonction du stade de développement de l'entreprise et de la place occupée par la donnée dans son activité, cette progression sera d'ampleur différente, allant d'une légère évolution à une transformation radicale.
L'organisation est un des moyens d'action de la gouvernance. La définition des instances, des fiches de poste, des rôles et responsabilités, le calibrage de ces postes en lien avec la RH permettent de définir un équilibre des pouvoirs propre à la nature politique de l'entité concernée (utopie technocratique. anarchie. féodalisme. monarchie. fédéralisme)9.
Attention cependant, car si la gouvernance et ses instances peuvent prendre en compte les contraintes réglementaires et les instances associées, elles doivent préserver l'indépendance du DPO et du juridique en général. Ainsi, un rattachement partiel est envisageable à la gouvernance mais celui-ci peut être complété par un rattachement juridique et garanti au travers de la description des instances et rôles.
Ici aussi, comme pour tous les leviers, rien ne sert de mettre en place une importante structure de gouvernance ainsi que de nombreux postes tant que l'organisation n'a pas atteint la maturité suffisante.
Les questions de protection de la donnée ne devront plus être considérées comme le seul apanage des techniciens et experts du sujet. Les maîtrises d'ouvrage devront se les approprier, se sentir concernées et accompagner les experts de la sécurité en leur exprimant et formalisant leurs besoins dans ce domaine.
Comment ? En envisageant le pire qui puisse se produire en termes d'atteinte aux données et de conséquences pour l'entreprise. Outre cette indispensable formalisation des besoins, des tests devront être réalisés par des entités indépendantes pour s'assurer que les besoins de sécurité sont respectés et, le cas échéant, procéder à la correction de failles décelées avant la mise en service du traitement. Au-delà du sujet de la protection des données, cela renforcera les liens avec les maîtrises d'oeuvre et sera bénéfique à l'organisation dans son ensemble.
Certaines organisations sont matures dans ce domaine : leur maîtrise d'ouvrage ayant compris qu'elles sont considérées à juste titre comme responsables de traitements, elles s'efforcent de définir avec précision les objectifs de sécurité que la maîtrise d'oeuvre doit atteindre.
Les précurseurs ont été les entités du secteur public qui sont soumises à l'application de démarches prenant en compte la sécurité et le respect du Référentiel général de sécurité adopté par l'ANSSI. D'autres secteurs réglementés, comme les banques, ont des obligations en matière de sécurité des systèmes d'information au travers des accords de Bâle qui prennent en compte le risque cyber. La loi de programmation militaire10, avec son volet sur la protection des opérateurs d'importance vitale (OIV), impose aux acteurs majeurs de l'économie française de mettre en oeuvre des règles de sécurité (décrites dans des arrêtés sectoriels consultables sur le site Legifrance.gouv.fr).
En somme, rien n'est à réinventer. Les obligations réglementaires viennent finalement conforter les bonnes pratiques connues depuis de nombreuses années.
Avec l'entrée en vigueur du RGPD et la prochaine transposition au niveau national de la directive européenne11« concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union », approuvée le 6 juillet 2016, le sujet dépasse enfin les frontières des directions des systèmes d'information et trouve les bons vecteurs pour une prise en compte homogène et cohérente par l'ensemble de l'organisation.
La contrainte règlementaire va finalement permettre aux organisations de dépasser les freins budgétaires - initier une démarche sécuritaire coûte plus cher et nécessite une montée en compétence des équipes - car, en impliquant leur responsabilité, elle va les pousser à mieux protéger leurs données.
Pour y arriver, il suffira en théorie, de former les équipes techniques à l'intégration de la sécurité dans le cycle de développement des systèmes de traitement et à assurer le maintien en conditions de sécurité lorsque le système aura été mis en « production ». Même si les démarches, standards, normes, référentiels, technologies et techniques de la sécurité des systèmes d'information existent depuis de nombreuses années et sont matures dans leur majorité, il s'agit dans la pratique d'un véritable changement culturel qui passe par la sensibilisation et la responsabilisation des équipes techniques des maîtrises d'oeuvre.
Au-delà de l'indispensable conformité réglementaire, la sécurisation des travaux et des opérations des maîtrises d'oeuvre sera dépendante de la maturité de leurs donneurs d'ordres en matière de protection des données pour qu'enfin soient appliquées les mesures organisationnelles et techniques assenées depuis des décennies par les experts et les instances de la sécurité des systèmes d'information.
En conclusion, si la mise en place du RGPD doit faire partie des bonnes résolutions de toutes les organisations pour 2018, elle ne doit pas être considérée comme un simple projet juridique à mener au cours de l'année.
Le RGPD fait en réalité émerger un chantier nécessaire de transformation pour atteindre une professionnalisation de la donnée ; un chantier interprofessionnel et sur le long terme, dans lequel toutes les entreprises doivent se lancer pour être pleinement opérationnelles au XXIe siècle..
Mots-clés: Informatique; Données personnelles; Réglementation; Règlement général sur la protection des données
NOTES:
[note 1] PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016 : JOUE n° L 119, 4 mai 2016 ; JCP E 2016, dossier 1323 à dossier 1329.
[note 2] www.juniper.net/assets/fr/fr/local/pdf/whitepapers/idc-gdpr-etude-france-2017.pdf
[note 3] Les accords de Bâle II (2004) et Bâle III (2010) proposent un certain nombre de normes prudentielles pour limiter le risque bancaire.
[note 4] Foreign Account Tax Compliance, entrée en vigueur le 1er juillet 2014, oblige les banques françaises à fournir un certain nombre d'informations au Gouvernement américain pour lutter contre la fraude fiscale.
[note 5] Dodd-Frank Wall Street Reforme and Consumer Protection Act, entrée en vigueur le 21 juillet 2012, est une loi de régulation bancaire et de protection du consommateur.
[note 6] Solvency II (Solvabilité II) - PE et Cons. UE, dir. 2009/138/CE, 25 nov. 2009, sur l'accès aux activités de l'assurance et de la réassurance et leur exercice : JOUE n° L 335, 17 déc. 2009, p. 1 - est un nouveau code réglementaire pour la gestion des risques des compromis d'assurance.
[note 7] Microsoft va revoir ses choix stratégiques après le départ de Steve Ballmer : In Les Echos ; accessible sur https://business.lesechos.fr/directions-generales/strategie/organisation-des-entreprises/0202964753701-microsoft-va-revoir-ses-choix-strategiques-apres-le-depart-de-steve-ballmer-8688.php?aYLdlHVCLsHvlBwC.99
[note 8] Un premier guide dénommé « Comment mener une EIVP, un PIA », accessible via www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf. - Un deuxième guide intitulé « Modèles et bases de connaissance », accessible via www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-2-Outillage.pdf.
[note 9] F. Régnier-Pécastaing, M. Gabassi, J. Finet : MDM : Enjeux et méthodes de la gestion des données : éd. Dunod, 2008.
[note 10] L. n° 2013-1168, 18 déc. 2013, relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale : JO 19 déc. 2013, p. 20570, art. 22.
[note 11] La directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 doit être transposée en droit national avant le 9 mai 2018 par les États membres.
DATE-CHARGEMENT: 25 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Editions du Juris Classeur
Tous droits réservés
105 of 500 DOCUMENTS
La Tribune
Jeudi 25 Janvier 2018
RGPD : "Stop au Far West de la data"
AUTEUR: Priscille Lacombe
RUBRIQUE: TERRITOIRES; Pg. 126
LONGUEUR: 565 mots
ENCART: Le 29 janvier, aux Abattoirs, à partir de 18h30 à l occasion du lancement du book Eco 2018, France Charruyer, avocate toulousaine spécialisée dans les questions numériques, participera à la table ronde organisée par La Tribune Toulouse et intitulée : "Le RGPD, contrainte ou opportunité pour les entreprises en Occitanie ?"
L'approche des données dans l'entreprise ne sera plus jamais la même après le 25 mai 2018 date à laquelle entrera en vigueur le RGPD, le règlement sur le protection des données.
Avec cette nouvelle législation européenne, la protection des données personnelles est désormais considérée comme un droit fondamental et les entreprises qui ne le respecteront pas encourent une amende de 4% de leur chiffre d'affaires mondial.
En quoi va consister précisément l'entrée en vigueur du Règlement européen sur la protection des données ? Le RGPD est un règlement dont le but est de sensibiliser l'ensemble des citoyens à la maitrise numérique de leurs données personnelles. Dans un environnement où le tout numérique et l'ultra connecté dominent, l'Europe considère que l'on ne peut plus faire n'importe quoi. Avec le RGPD, les états européens disent stop au Far West de la data. La protection des données personnelles sera désormais un droit à part entière. Concrètement, qu'est ce que cela va changer pour les entreprises ? Pour les entreprises c'est un changement de logique. Avec le RGPD on passe du "pas vu, pas pris" à une logique de responsabilité. Jusque là, il appartenait à la Cnil de démontrer que l'entreprise n'était pas conforme. Avec l'application le 25 mai 2018 du nouveau RGPD ce sera à l'entreprise de prouver qu'elle est conforme. C'est ce que l'on appelle l'inversion de la charge de la preuve. Cela signifie que les PME doivent s'inscrire dans une logique de responsabilité et proposer a minima une politique de gouvernance des données. Les entreprises vont devoir rendre des comptes quand à la gestion des données personnelles. Pour les entreprises, l'enjeu est important. Nombreuses sont celles qui trouvent ce nouveau règlement contraignant. Vous, vous dites qu'il peut être une opportunité. Pourquoi ? Oui, l'enjeu est énorme mais il ne faut pas le voir uniquement sous le prisme de la sanction.
Le RGPD est une formidable opportunité pour les entreprises qui vont pouvoir reprendre la main sur leur data. Les consommateurs sont de plus en plus sensibles à la cyber-sécurité et sont attentifs aux pratiques des entreprises dans le domaine. Le changement de pratique des PME et leur conformité avec le RGPD favoriseront leur réputation. Je ne suis pas certaine que l'inverse aura le même effet. La conformité au RGPD sera un levier majeur dans la valorisation des entreprises. Savoir valoriser sa data sera un vrai plus.
CONFERENCE-DÉBAT : Le RGPD, contrainte ou opportunité pour les entreprises en Occitanie ? À l'occasion du lancement du Book Eco La Tribune édition 2018, le lundi 29 janvier 2018 à 18h30 aux Abattoirs à Toulouse. Avec : France Charruyer, avocate spécialiste du RGPD, cabinet Altij ; Laurent Gerin, délégué régional du Syntec numérique, Jean-Louis Glorian, directeur des services bancaires au CIC, Sandrine Mathon, responsable du domaine ressources, direction du numérique, Mairie de Toulouse, Toulouse Métropole et Alexandre Veses, CEO et fondateur de Skeep. En présence de : Nadia Pellefigue, vice-présidente du Conseil régional
en charge du développement économique et de l'innovation et de Bertrand Serp, vice-président de Toulouse Métropole en charge de l'économie numérique et robotique, adjoint au maire de Toulouse en charge de l'innovation et du numérique
France Charruyer, avocate, considère le RGPD comme une opportunité pour les entreprises (907390.png)
DATE-CHARGEMENT: 24 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
106 of 500 DOCUMENTS
La Tribune
Jeudi 25 Janvier 2018
Callimedia cible les PME-PMI avec sa plate-forme UPility
AUTEUR: Valentine Ducrot
RUBRIQUE: TERRITOIRES; Pg. 128
LONGUEUR: 580 mots
ENCART: Expert en solutions e-learning depuis 2000, le Montpelliérain Callimedia poursuit son développement et ambitionne de faire de sa nouvelle plate-forme UPility une référence du blended learning d ici 2020.
L'année 2017 aura été chargée pour l'éditeur de plate-forme LMS (Learning Management System) et producteur de contenus basé à Castelnau-le-Lez (34). Après un premier semestre marqué par l'acquisition de grands comptes (une vingtaine de nouvelles références dont La Caisse d'Épargne, Celio...) et le lancement d'UPility, plate-forme e-learning nouvelle génération, Callimedia annonçait la création, en octobre dernier, de la market place UPility University.
"Ce portail innovant permet d'accéder à des contenus de formations prêts à l'emploi"
explique Christophe Fabre, Directeur général de Callimedia. 20 nouveaux modules e-learning À l'occasion du salon Learning Technologies France qui se tenait pendant deux jours (22 et 23 janvier 2018) à l'espace Champerret à Paris, Callimedia a présenté
son nouveau module de formation "sensibilisation au RGPD - Règlement général sur la protection des données", rédigé par Julien Le Clainche, avocat expert en droit des données personnelles.
"Cette thématique, précise Christophe Fabre, est plébiscitée par les entreprises car, à compter du 25 mai 2018, elles devront toutes initier des procédures permettant de démontrer le respect des règles relatives à la protection des données." Sécurité informatique, loi contre le blanchiment, contrôle URSSAF... Une vingtaine de nouveaux modules (coût de fabrication estimé pour chacun : entre 20 et 25 000EUR) devraient voir le jour d'ici la fin de l'année 2018. De nouvelles parts de marché Partant du constat que seulement 10 % des entreprises utilisent les nouvelles technologies d'apprentissage pour former leurs salariés, Callimedia entend désormais cibler aussi bien les PME que les groupes internationaux via sa nouvelle plate-forme et ses modules transverses génériques. Conçues avec des ingénieurs pédagogiques, ses formations "cross platform", conviviales et faciles d'utilisation, sont tournées vers l'expérience utilisateur.
« Jusqu'à présent notre plateforme était plutôt dédiée aux grands comptes, le marché n'étant pas encore mature - trop cher et peu adapté - pour capter les PME/PMI, analyse le DG. Aujourd'hui, grâce à notre expertise, nous sommes dans la capacité d'offrir à toutes les entreprises la possibilité d'accéder au déploiement de notre stratégie. Notre ambition est de devenir rapidement un acteur majeur auprès de ces PME/PMI. » Avec un prix d'entrée à 2 900 EUR auquel s'ajoute 1,90 EUR de coût par utilisateur, Callimedia intègre dans son portefeuille de nouveaux clients (Anticip, GFP...) tout en poursuivant sa politique de fidélisation de ses clients historiques. Ainsi plusieurs groupes (Club Med, Banque Postale) se sont réengagés dans de nouvelles sessions de formations. Recrutement de cinq collaborateurs Pour soutenir le développement de son activité, la société héraultaise a ouvert des bureaux commerciaux à Paris XVe. D'ici le premier semestre, elle prévoit de recruter trois commerciaux, un chef de projet et un directeur de production, portant ainsi à 40 le nombre de ses collaborateurs. En 2017, Calliemedia a réalisé un chiffre d'affaires de 3 MEUR. Pour l'année 2018, l'entreprise entend conforter sa position de leader sur le contenu (70 % de son CA) tout en prenant des parts de marché avec sa nouvelle plate-forme qui génère actuellement 30 % du CA.
« L'objectif est d'arriver en 2018 à l'équilibre et de faire d'UPility une référence dans le domaine de la formation à distance », conclut Christophe Fabre.
Christophe Fabre, Directeur général de Callimedia
DATE-CHARGEMENT: 24 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
107 of 500 DOCUMENTS
Le Point
25 Janvier 2018
Comment reprendre le contrôle
RUBRIQUE: EN COUVERTURE
LONGUEUR: 2479 mots
ENCART: Révolution. Et si Facebook et Google nous rémunéraient pour les data que nous leur livrons ? Enquête sur le trésor le plus convoité du XXIe siècle, source de progrès, mais aussi d'inquiétude.
L'insurrection républicaine à Paris en 1848, l'instauration de la République socialiste de Russie en 1918, la révolte de mai en 1968... Et 2018 ? Ce pourrait être l'année du réveil brutal et soudain de la conscience de l'Homo connecticus, qui, apparu il y a un peu plus de vingt ans, compte aujourd'hui plus de 3,8 milliards de représentants sur Terre... La revendication de notre insurgé du XXIe siècle ? La récupération de ses données personnelles, dont les très puissants Gafam - Google, Amazon, Facebook, Apple, Microsoft en tête (mais aussi tous les autres sites Internet) - nous dépouilleraient en toute impunité. Ces données enregistrées, dont le nombre double tous les trois ans, disent tout de notre vie : la musique que l'on écoute au réveil ou qui nous berce avant de dormir, la marque de céréales que nous achetons pour nos enfants, le fait que l'on baisse le son (ou qu'on le monte...) lorsqu'on entend une interview de François Bayrou en podcast, le nombre de kilomètres courus dans le week-end, le nom de la voiture de nos rêves dont nous avons vu la vidéo 14 fois en moins de vingt-quatre heures, la fréquentation ou non des sites de rencontres, etc. Il a été enregistré plus de data en 2017 que sur les 5 000 dernières années, selon Art Landro, le PDG de Sencha.
Jusqu'à très récemment, il semblait que le citoyen-consommateur-internaute, immature, ignorant ou tout simplement consentant, ne s'émouvait guère de cette intrusion dans sa vie privée. Débarquant sur la page d'accueil d'un site quelconque, il ne réfléchissait pas plus d'un quart de seconde avant d'accepter les conditions d'utilisation et de cliquer sur « Ok, j'ai compris » quand la petite fenêtre qui s'affiche en bas de l'écran assène la phrase type : « Ce site Internet utilise des cookies ». Selon une étude de l'université Carnegie Mellon, un Américain moyen signe près de 1 500 documents de « conditions d'utilisation » par an, ce qui correspondrait (s'il les lisait réellement) à 76 jours de lecture ! Pour les sites Internet, cette phrase est le sésame qui permet de transmettre l'information à des annonceurs pour mettre au point des publicités ciblées ou de la revendre à des tiers... Depuis peu, la révolte gronde derrière les écrans. Gaspard Koenig, président du think tank GénérationLibre, propose à chaque citoyen de reprendre la propriété de ses données (voir p. 51). Julien Dray, conseiller régional et figure du Parti socialiste, vient de proposer « la mise en place d'une taxe sur les géants d'Internet qui permettra de constituer une dotation universelle, pour chacun d'entre nous, de 50 000 euros à l'âge de 18 ans ». Son idée ? L'homme est devenu un algorithme, il produit des milliards d'informations qui nourrissent ensuite gratuitement les services de Google, d'Amazon, de Facebook ou de LinkedIn. Travailleurs numériques de tous les pays, unissez-vous ! Les données que nous produisons sont-elles une part de nous-mêmes ou bien le fruit d'un travail ? Doit-on être rémunéré lors de la revente de celles-ci ou bien simplement en reprendre le contrôle ? L'internaute doit-il définitivement tirer un trait sur la protection de sa vie privée ? « La première révolution industrielle a donné naissance au Code civil, la deuxième au Code social et la troisième, que nous vivons aujourd'hui, sera régie par le Code des données », explique Gilles Babinet, représentant la France pour le numérique auprès de la Commission européenne. La vision même de la « privacy » diffère entre l'Amérique et l'Europe. Les Etats-Unis sont plus libéraux sur cette question de la vie privée, tandis que l'Europe et en particulier l'Allemagne y prêtent une grande attention. C'est que le passé totalitaire du Vieux Continent a laissé des traces indélébiles : la hantise des fichiers constitués pendant la Seconde Guerre mondiale, notamment celui que le haut fonctionnaire français André Tulard créa, a inspiré la Déclaration universelle des droits de l'homme de 1948, qui, dans l'article 12, explique que « nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance ». La perspective du fichier administratif Safari - un projet de fichage généralisé de la population française mort-né initié par Georges Pompidou - a entraîné la création de la Commission nationale de l'informatique et des libertés (CNIL). En Europe, une nouvelle réglementation - la RGPD (voir p. 55) - va renforcer les droits des personnes sur Internet. Des amendes allant jusqu'à 4 % du chiffre d'affaires pourront être infligées aux entreprises qui utiliseraient des fichiers sans avoir obtenu le consentement des personnes concernées. « La vie privée est un des plus grands problèmes de notre temps. Au coeur de la culture Internet, il y a une force qui veut tout savoir sur vous », expliquait à Esquire, dès 2000, Andy Grove, cocréateur d'Intel, selon lequel « ce n'est pas ce que nous anticipions lorsque nous avons parlé de l'âge de l'information ». Ayn Rand en fait une affaire de principe : « La civilisation est un progrès vers une société de vie privée. La vie du sauvage est publique, régie par les lois de sa tribu. La civilisation est de rendre l'homme libre des hommes », expliquait la libertarienne dans « For the New Intellectual », un ouvrage paru en 1961. Semelles connectées.Reprenons le fil du débat. Evidemment, une donnée n'est pas dangereuse en soi. Elle permet même d'ailleurs souvent d'améliorer singulièrement un service proposé. La preuve avec Duoy, un capteur que l'on fixe sur les tuyaux de plomberie qui mesure la consommation d'eau en temps réel : il nous alerte, via une application mobile, en cas de soupçon de fuite. La start-up française FeetMe a mis au point des semelles connectées intelligentes qui informent les proches en cas de chute du senior qui les porte... Mais il faut que le porteur accepte de communiquer en permanence sa localisation à ses proches. Même scénario pour le casque mis au point par l'américain BrainCo : il est censé améliorer notre concentration, mais il pourrait aussi être utilisé par les universités pour savoir qui est réellement concentré en cours et qui ne l'est pas...« Le risque majeur dans la collecte de données personnelles, explique Eric Caprioli, avocat à la cour de Paris, réside dans le fait que l'individu ne soit plus appréhendé en fonction de ses actions, mais selon la probabilité de ses actions futures. » Le traitement d'informations privées en temps réel permet aussi de faire des progrès dans le secteur médical. Ainsi de la start-up Owkin. Ses créateurs, le cancérologue Thomas Clozel, venu du Weill Cornell Medical College, et le mathématicien Gilles Wainrib, ancien professeur à l'Ecole normale supérieure, viennent de lever 11 millions de dollars pour mettre au point un programme prédictif anticancer. Pour fonctionner, le « machine learning » d'Owkin doit se nourrir énormément d'images médicales. « Les données que nous utilisons sont extrêmement sensibles. Certains industriels les stockent dans le cloud. Nous avons décidé de les conserver à l'hôpital, dans des unités de calcul à haute performance, comme à l'Institut Curie et au Centre Bérard à Lyon. » N'est-ce pas limiter le nombre de calculs possible ? « Nous utilisons l'apprentissage fédéré : les supercalculateurs communiquent entre eux grâce à des connexions encryptées. » Pour gagner en efficacité, les géants américains d'Internet sont devenus les champions de la culture de l'intime ! Amazon a racheté il y a quelques semaines la start-up Body Labs. Cette application réalise une cartographie de vous en trois dimensions. Cette modélisation en 3D de votre corps et de vos mensurations seront communiquées à l'assistant vocal d'Amazon Alexa (voir p. 53), qui commandera pour vous directement des vêtements à votre taille. Que peut-on encore cacher à ces géants d'Internet ? Même nos émotions vont bientôt être décryptées... Un brevet intitulé « Techniques for Emotion Detection and Content Delivery », déposé par Facebook, propose, via l'appareil photo de votre smartphone, d'analyser notre état d'esprit en fonction de la vidéo que nous regardons. D'ici à ce que les machines nous répondent... La start-up new-yorkaise Emoshape, créée par le Français Patrick Levy Rosenthal, vient de présenter l'Emotion Processing Unit, un processeur qui vise à permettre aux machines de traduire des émotions comme la colère, la peur, la tristesse, le dégoût, la confiance ou encore la joie. « Chant des sirènes ». Le plus dangereux dans ce monde ultraconnecté, c'est qu'on y prend goût. « Les internautes sont semblables aux marins de " L'Odyssée " d'Homère attirés par le chant des sirènes », estime le précurseur des réseaux virtuels Jaron Lanier. Nir Eyal, auteur du livre « Hooked : How to Build Habit-Forming Products », explique que cette sorte d'addiction numérique se décompose en quatre étapes : un déclencheur, une action, une récompense et un investissement. Exemple avec Instagram : lorsqu'une photo colle à l'image que nous voulons renvoyer de nous-mêmes, les likes font office de récompense, ce qui nous pousse à la commenter en retour, entraînant un cercle de fidélité inédit... Résultat, chaque utilisateur passe 2 heures et 24 minutes par jour sur les réseaux sociaux, d'après l'institut GlobalWebIndex. Attention, donc, à ce que l'on partage... C'est notamment sur cette avalanche de données que fleurissent les data brokers (voir p. 50), au coeur d'un marché économique évalué en 2015 à 200 milliards de dollars. Ces entreprises, totalement inconnues du grand public, récupèrent, analysent et revendent des données de tous horizons. Elles fleurissent essentiellement aux Etats-Unis, où le croisement des fichiers est beaucoup moins limité qu'en Europe. Facebook explique au Point ne vendre aucune donnée à ces spécialistes. Mais, souvent, ces derniers se servent eux-mêmes. Ainsi, pour déterminer si une personne a droit à un emprunt, la société allemande Kreditech passe au peigne fin l'activité sur les réseaux sociaux du demandeur, ainsi que ses comptes Amazon ou eBay. La start-up de Hambourg est capable de livrer un verdict en sept minutes... Ces data brokers récupèrent aussi des données de la vie réelle, acquises auprès de concessionnaires par exemple, ou en récupérant les cartes de fidélité de grands magasins. C'est à Little Rock, derrière une gigantesque baie vitrée barrée d'un X translucide, que bat le coeur de la société Acxiom. Elle carbure depuis 1969 au traitement des données personnelles. Cette année-là, le fondateur, Charles D. Ward, cadre du Parti démocrate, a voulu créer des listes d'adresses d'Américains qui seraient de potentiels futurs adhérents à son parti dans l'Arkansas. Il s'agissait de s'opposer à Winthrop Rockefeller (le troisième de la génération), figure de proue des républicains dans l'Etat. L'entreprise n'a, depuis, jamais cessé de grossir et, en 2014, elle s'est offert, pour 310 millions de dollars, LiveRamp, une start-up californienne spécialisée dans l'interconnexion des données commerciales. La méthode d'Acxiom, qui compte le site de géolocalisation Foursquare parmi ses partenaires ? Classer les consommateurs en segments qui décrivent les habitudes de vie dans un foyer ou encore les aspirations des personnes qui y habitent. Dans « Data and Goliath : The Hidden Battles to Collect Your Data and Control Your World », l'Américain Bruce Schneier explique qu'Acxiom, qui a dégagé plus de 1 milliard de dollars de chiffre d'affaires, vend aux entreprises des listes de consommateurs incluant des « héritiers potentiels » ou des listes d'adultes avec des parents à charge ou des listes d'adresses de personnes présentant un profil diabétique... En France, l'entreprise aurait « collecté jusqu'à 600 données par foyer sur 6 millions de foyers français », rapporte ainsi une étude de L'Atelier BNP Paribas. L'entreprise Statlistics, sise dans le Connecticut, est, elle, à même de commercialiser une liste de consommateurs homosexuels hommes et femmes et une autre souffrant de troubles bipolaires. Une autre entreprise, baptisée Paramount Lists, installée à Erie, en Pennsylvanie, propose, toujours selon CBS News, une liste de personnes ayant des addictions au jeu, à l'alcool ou encore extrêmement endettées... La valorisation (élevée) et le chiffre d'affaires de ces sociétés font prendre conscience aux consommateurs de la valeur de leurs données. D'après une étude publiée par le Ponemon Institute en 2015, 56 % des sondés seraient prêts à partager leurs informations personnelles en échange d'une rémunération. L'enquête demandait pour quelle somme ils seraient prêts à partager telle ou telle information. Les informations les plus valorisées par les internautes seraient leurs mots de passe, qu'ils pourraient céder pour environ 76 dollars l'unité, tandis que les données santé pourraient se négocier autour de 60 dollars, les informations de paiement, 36 dollars... Une perspective qui inquiète la présidence de la CNIL, Isabelle Falque-Pierrotin, car, pour elle, vendre ses données serait abandonner une partie de soi-même : « Notre corps numérique est constitué de données et nous ne pouvons pas vendre des parties de notre corps. La protection des données est liée à la dignité humaine, c'est un actif philosophique qu'il ne faut pas abandonner ! » Surtout, c'est la difficulté de mettre en oeuvre cette « patrimonialisation » qui inquiète. Comment retracer l'identité d'une donnée, alors que celle-ci peut être copiée ou modifiée en une fraction de seconde ? Dans son rapport, GénérationLibre explique que la blockchain fournit cette possibilité de gestion en conservant un historique des modifications. Il serait possible de stocker les empreintes des données transférées, qui, elles, seraient conservées par leur propriétaire dans un portefeuille spécial. « Les données sont trop facilement copiables et donc difficiles à suivre. Par contre, en demander une licence d'utilisation est une piste extrêmement intéressante », explique l'entrepreneur Rand Hindi, qui, avec Snips, travaille sur un système d'exploitation pour chatbots dont les données restent chez l'utilisateur (voir p. 62). « Pour rééquilibrer ce monde asymétrique, il faut partager le pouvoir de la donnée », suggère Daniel Kaplan, directeur scientifique de la Fondation pour l'Internet nouvelle génération, qui, en Europe, fut le pionnier du mouvement Self Data. Ce mouvement est aussi regardé avec intérêt par le chercheur de l'Inria et de l'ENS Cachan Serge Abiteboul. Le projet Dataccess, qui favorise la portabilité des données, est soutenu par des entreprises comme BNP Paribas ou la MGEN. Les Gafam semblent prendre conscience du pouvoir et de la responsabilité qui leur incombe, et s'engagent à plus de transparence. En permettant, par exemple, d'avoir un tableau qui récapitule toutes les informations qui sont en leur possession. Salutaire.
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Le Point
Tous droits réservés
108 of 500 DOCUMENTS
Le Monde.fr
Jeudi 25 Janvier 2018
Données personnelles : un nouveau règlement européen contraignant
AUTEUR: Martin Untersinger
LONGUEUR: 976 mots
A l'issue d'un intense lobbying, le 27avril 2016, l'Union européenne a adopté le règlement général sur la protection des données (RGPD). Remplaçant une directive de 1995, qui avait été diversement interprétée dans chaque pays européen, ce texte ambitieux définira, à partir du 25mai prochain, des règles uniques concernant les données personnelles de plus d'un demi-milliard d'habitants.
Beaucoup voient dans ce règlement une révolution. Pourtant, l'esprit du texte demeure: les entreprises qui désireront utiliser les données personnelles des citoyens européens devront obtenir leur consentement et être claires sur leur utilisation. Chacun disposera, comme auparavant, du droit de refuser que ses données soient utilisées. «Le sujet des données personnelles est vieux de quarante ans. Ce règlement marque la troisième évolution du cadre légal et les principes ne changent pas vraiment», estime Paul-Olivier Gibert, président de l'Association française des correspondants à la protection des données à caractère personnel, qui regroupe les experts en la matière de plus de 600entreprises et organisations.
«Droit à l'oubli»
A court terme, ce règlement ne bouleversera pas la manière dont les Européens utilisent Internet, bien qu'il apporte plusieurs nouveautés: les entreprises devront d'abord être plus transparentes vis-à-vis des consommateurs et internautes. Le règlement va les obliger à «communiquer dans un langage courant, compréhensible par tous», précise Rubin Sfadj, avocat spécialisé.Ensuite, le RGPD va donner aux citoyens européens un droit à la «portabilité» de leurs données, c'est-à-dire que les entreprises devront permettre à leurs utilisateurs de récupérer leurs données personnelles afin qu'ils puissent les transférer à un autre service. Les usagers d'un service de courriel pourront ainsi télécharger leurs messages afin de pouvoir les utiliser dans un nouveau service de courriels.
Le règlement pérennise et renforce également les droits des citoyens en matière de suppression de leurs données. La possibilité de demander aux moteurs de recherche de retirer certains résultats comportant des informations personnelles, le «droit à l'oubli» reconnu par la justice européenne depuis 2014, sera désormais consolidée et actée dans la loi européenne. S'il demeurait une ambiguïté sur la zone où s'applique le droit européen, elle est levée: toute entreprise utilisant des données d'Européens, même si elle est basée hors de l'Union, devra respecter le RGPD. Autre changement pour les consommateurs et les internautes, l'obligation faite aux entreprises de les avertir au cas où leurs données personnelles seraient compromises par un piratage ou une faille de sécurité.
La CNIL a récemment mis en garde les entreprises contre une vague d'appels frauduleux leur promettant une miraculeuse «mise en conformité» avec le règlement
En réalité, c'est pour les entreprises que le changement est le plus drastique. D'abord parce que, contrairement à une directive, qui doit être adaptée dans le droit français, le règlement s'appliquera directement, que les entreprises soient prêtes ou non, à partir du 25mai. Ensuite, et c'est le coeur du nouveau règlement, tout manquement pourra être sanctionné par une très lourde amende: jusqu'à 4% du chiffre d'affaires mondial ou 20millions d'euros. Sans commune mesure avec les anciennes sanctions (jusqu'à 300000euros, puis 3millions d'euros depuis fin 2016).
De quoi changer de dimension et propulser la question des données personnelles aux plus hauts niveaux décisionnaires. «Prenez une entreprise à 100millions d'euros de chiffre d'affaires: avec l'ancien régime, elle risquait une amende de 300000euros. C'est moins de 1% du chiffre d'affaires: ce n'est pas agréable, mais c'est gérable. Passer à 4%, ça peut être très compliqué. La législation sur les données personnelles aura la même importance que la législation sur la concurrence», résume Paul-Olivier Gibert.
C'est donc sans surprise que, depuis des mois, une myriade de cabinets d'avocats et de sociétés de conseil en sécurité informatique se sont mis en ordre de bataille et arrosent les entreprises de multiples offres de «mise en conformité avec le RGPD». Preuve de l'engouement commercial que suscite le RGPD, la CNIL a récemment mis en garde les entreprises contre une vague d'appels frauduleux leur promettant une miraculeuse «mise en conformité» avec le règlement, prélude à une escroquerie ou à une attaque informatique.
Fini la seule déclaration
Ces charlatans exploitent l'appréhension des entreprises face à la taille de ce chantier. D'abord parce que toutes les entreprises sont concernées, dès lors qu'elles manipulent des données personnelles (fichier clients, prospects, fournisseurs...). Ensuite parce que le cadre légal précédent reposait essentiellement sur un régime de déclaration: les entreprises qui créaient un fichier se contentaient d'en informer la CNIL. Elles devront «interpréter et appliquer le règlement de la manière qui convient le mieux et expliquer cette interprétation» en cas de contrôle, explique Rubin Sfadj. Désormais, il leur faudra prouver qu'elles ont correctement récolté le consentement de l'individu, qu'elles ne stockent que le strict nécessaire en matière de données personnelles, qu'elles ont pris des précautions techniques pour les protéger des piratages, que ses sous-traitants obéissent aux mêmes exigences de protection des données...
A partir du 25mai, les entreprises devront dans la plupart des cas prendre des mesures précises - études d'impact en matière de vie privée, audits de sécurité, registres des données, embauche d'un expert spécialisé - et plus largement changer en profondeur leur manière de gérer les données. Même si la CNIL rappelle que le couperet ne tombera pas sur les fautifs dès le 25mai, il s'agit d'un chantier dont toutes les entreprises n'ont pas encore pris la mesure.
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Monde
Tous droits réservés
109 of 500 DOCUMENTS
Le Monde.fr
Jeudi 25 Janvier 2018
Après quarante ans d'existence, la CNIL face à de nouveaux défis
LONGUEUR: 1201 mots
La Commission nationale de l'informatique et des libertés (CNIL) fête ses 40ans. Chargée de veiller à la protection des données personnelles des Français, elle n'a cessé de voir son champ de compétence s'élargir à mesure que la société s'est informatisée et qu'Internet s'est imposé dans toutes ses sphères. A l'occasion de cet anniversaire, Le Monde revient dans un dossier spécial sur l'histoire et les missions de cet organisme, mais aussi et surtout sur les nouveaux défis qu'il doit aujourd'hui relever.
A quoi sert la CNIL?
La Commission nationale de l'informatique et des libertés (CNIL) est le régulateur des données personnelles. «Elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et exercer leurs droits», peut-on lire sur son site. La CNIL est notamment chargée de faire appliquer la loi du 6janvier1978 «relative à l'informatique, aux fichiers et aux libertés». Elle reçoit des plaintes, contrôle des organismes qu'elle peut sanctionner, et donne également des avis. «La CNIL, par construction, est un contre-pouvoir, explique sa présidente, Isabelle Falque-Pierrotin, au Monde. Elle donne des avis, mais elle n'est pas toujours entendue... Ce qui ne signifie pas que ses avis sont inutiles.»
L'organisme est né après un article du Monde alertant sur la création par le gouvernement français du fichier Safari en1974, visant à ficher les individus. A l'aube de l'informatisation de la société, cette affaire avait fait grand bruit et conduit le gouvernement de Raymond Barre à créer la CNIL en1978, pour encadrer les fichiers informatiques.
Que dit la loi sur les données personnelles?
La loi informatique et libertés de1978 encadre l'usage des données personnelles. Elle impose aux entreprises souhaitant utiliser les données personnelles des Français d'obtenir au préalable leur consentement et de se montrer claires sur leurs intentions. La loi garantit au citoyen le droit de s'opposer à la collecte de ses données, et de faire supprimer les données le concernant.
La loi informatique et libertés pose dans son article1er que «l'informatique doit être au service de chaque citoyen (...). Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques». Pour cela, la loi définit cinq grands principes à respecter en cas d'exploitation des données personnelles: définir les objectifs du fichier, vérifier la pertinence des données, limiter leur conservation, respecter le droit des personnes et sécuriser les données.
En quarante ans, comment a évolué la mission de la CNIL?
Initialement conçue pour encadrer les fichiers créés par l'Etat, la CNIL doit désormais composer avec la multiplication des fichiers engendrés par l'informatisation et le développement d'Internet. Aujourd'hui, le numérique est partout, de la carte bancaire à la biométrie, la géolocalisation, les réseaux sociaux et les objets connectés. Qui plus est, la gratuité de nombreux services en ligne se paie d'une constante marchandisation des données.
La loi informatique et libertés, relativement flexible, reste encore pertinente à l'heure actuelle, même si elle a subi quelques ajustements ces dernières années. En revanche, la CNIL n'a pas grandi à la même mesure que la collecte des données personnelles qu'elle doit encadrer. La commission vivote avec un petit budget, moins de la moitié de celui du Conseil supérieur de l'audiovisuel (CSA).
Quels sont les nouveaux dangers pour les données personnelles?
Après l'explosion du numérique et d'Internet, d'autres technologies, qui commencent à s'imposer dans notre quotidien, annoncent encore d'autres défis à venir pour la protection des données. Ainsi des objets connectés et des programmes d'intelligence artificielle (IA). Les premiers récoltent plus de données que jamais sur leurs utilisateurs; les seconds en consomment des masses considérables pour fonctionner - et les deux ne font parfois qu'un, comme dans le cas des enceintes «intelligentes».
Leur développement pourrait entrer en conflit avec certains principes de la loi de 1978. Elle impose par exemple une minimisation de la collecte des données, ainsi qu'une limitation de la durée de leur conservation. Or, les technologies d'intelligence artificielle ont par exemple souvent besoin d'une immense quantité de données conservées sur le long terme pour fonctionner.
Quelle est l'efficacité de la CNIL?
Côté chiffres, le nombre de contrôles effectués par la Commission a été multiplié par dix entre2002 et2016 - sans que cela ne produise davantage de sanctions. La tendance est à la hausse aussi en ce qui concerne les plaintes: rien qu'entre2014 et2015 la hausse est de36%. Pour la seule année 2016, la CNIL a répondu à 166565appels, enregistré 7703plaintes, rendu 3078décisions.
Parmi les dernières délibérations, la Commission a infligé une sanction pécuniaire de 150000euros à Facebook le 17mai 2017 (délibération n°SAN - 2017-006 du 27avril2017) pour avoir procédé «à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire».
Mais sur la durée de son existence, c'est avec l'Etat que la lutte a été la plus féroce. La CNIL a par exemple réussi à poser des limites à la surveillance policière lors de l'informatisation de la carte nationale d'identité et la constitution du système Schengen. En outre, elle a systématiquement interdit les traitements discriminatoires, limité le système Gamin du ministère de la santé, qui visait à sélectionner «les enfants à risques», et généralisé les droits d'accès.
Trois domaines ont cependant donné du fil à retordre à la CNIL: l'administration fiscale, qui a accès à des fichiers centraux qui ne lui sont, a priori, pas destinés; le secteur bancaire, qui a multiplié les recours contre la Commission; et la police. Il a fallu attendre plus de dix ans pour que les principaux fichiers de la police et de la défense soient régularisés.
Que contient le futur règlement européen sur les données personnelles?
A l'issue d'un intense lobbying, l'Union européenne a adopté le27avril2016 le règlement général sur la protection des données (RGPD). Remplaçant une directive de1995, qui avait été diversement interprétée dans chaque pays européen. Ce texte ambitieux définira, à partir du25mai, des règles uniques concernant les données personnelles de plus d'un demi-milliard d'habitants. Il remplacera, enFrance, la loi de1978 sur les données personnelles.
S'il n'en change pas les grands principes, il apporte cependant quelques modifications, à commencer par la sanction encourue par les entreprises ne respectant par le RGPD: elle pourra atteindre 4% de leur chiffre d'affaires mondial.
Les entreprises devront aussi être plus transparentes vis-à-vis des consommateurs et des internautes. Elles devront aussi avertir les personnes concernées si leurs données se révèlent compromises à la suite d'un piratage ou d'une faille de sécurité. Les citoyens européens auront également un droit à la «portabilité» de leurs données, c'est-à-dire que les entreprises devront permettre à leurs utilisateurs de récupérer leurs données personnelles afin qu'ils puissent les transférer à un autre service.
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Monde
Tous droits réservés
110 of 500 DOCUMENTS
Le Monde.fr
Jeudi 25 Janvier 2018
«Le but de la CNIL n'est pas la sanction tous azimuts»
AUTEUR: Franck Johannès; Martin Untersinger
LONGUEUR: 1822 mots
Isabelle Falque-Pierrotin, conseillère d'Etat, est membre de la Commission nationale de l'informatique et des libertés (CNIL) depuis 2004 et sa présidente depuis 2011. Elle explique pourquoi, en matière de protection des données, seule l'union des pays d'Europe permet de faire face aux géants du numérique et donnera à la CNIL les moyens de relever efficacement les défis de demain.
Petite structure de contrôle des fichiers d'Etatil y a quarante ans, la CNIL doitaujourd'hui composer avec une vie quotidienne entièrement numérique...
Cela montre que le législateur de 1978 était bien inspiré, puisqu'il a mis en place une institution appuyée sur une procédure et des principes assez simples, mais très robustes. Ces principes se sont coulés dans l'évolution des besoins, l'Internet, la biométrie... Ils ont même inspiré d'autres législations dans des pays francophones ou en Amérique du Sud.
La CNIL a été capable, à partir de ses principes fondateurs, de réinventer sans cesse son métier. En1978, à notre création, nous étions un «réglementeur» de fichiers publics, nous sommes aujourd'hui un régulateur de la donnée: il s'agit de trouver un équilibre entre les différents usages de la donnée, la protection des droits des personnes, l'innovation, la sécurité et les modèles économiques. Cette capacité à se réinventer en permanence est, je crois, l'une des caractéristiques de la commission.
Les Français vous semblent-ils sensibilisés aux problèmes du numérique?
La maturation des usages et des comportements est évidente depuis quelques années, on le constate à la fois dans les sondages et dans les études: les gens sont très avides de vie numérique, mais ils expriment aussi avec crainte un besoin de maîtrise de leurs données. Ils paramètrent leurs profils Facebook, mettent en place des bloqueurs de publicité, complexifient leurs mots de passe...
Grâce au RGPD, la sanction pourra atteindre 4 % du chiffre d'affaires mondial de l'organisme sanctionné
De tels comportements n'existaient pas ou peu il y a cinq ans, et les plus jeunes sont désormais parmi les plus avertis. Mais c'est insuffisant. Il y a encore trop d'inertie quant à l'impératif de protection des données personnelles.
Quelles sont vos relations avec les grandes plates-formes, Facebook ou Google?
Au départ, elles étaient parfaitement indifférentes à notre égard. En2014, la première sanction contre Google a souligné que le marché européen avait des exigences propres. Notre sanction financière, bornée par les textes, était très limitée - 150000euros -, mais elle a quand même été très importante en termes d'image, puisqu'elle a été publiée pendant quarante-huit heures sur la page d'accueil de Google.
Je crois qu'il faut être très pragmatique et négocier en position de force, sujet par sujet. Ils viennent fournir des services chez nous, ilsdoivent respecter le cadre européen. La relation est en voie de rééquilibrage: nous travaillons très bien ensemble sur certains dossiers. Avec Google, par exemple, sur le droità l'oubli, qui correspond à une demande sociale, nous sommes souvent d'accord, saufsur la question de sa portée territoriale, qui sera tranchée par la Cour de justice de l'Union européenne.
Les sanctions ont-elles un réel impact? Onaparfois du mal à mesurer les résultats des procédures de la CNIL.
Il y a des suites, et des ajustements de pratiques, bien sûr. Les bandeaux sur les cookies par exemple n'existaient pas auparavant, les outils de paramétrage des comptes se sont développés; la sécurité des mots de passe a été renforcée... Quant à la longueur des procédures, elle n'est pas surprenante. Les dossiers sont techniquement complexes et, même si la CNIL a une expertise très solide -c'est d'ailleurs pour cette raison qu'elle a été choisie en2014 par le G29, le groupe des autorités de régulation européennes, pour être chef de file sur le dossier Google-, les contrôles nous entraînent au coeur du modèle économique et de l'architecture technique de ces acteurs. Et nous devons nous coordonner au sein du groupe de travail européen. Cela prend un peu de temps!
La prochaine étape sera le règlement général sur la protection des données, le RGPD, qui entrera en vigueur en mai. La situation sera grandement facilitée, car nous n'aurons plus une juxtaposition des sanctions française, allemande, italienne, mais une seule, prise au nom des 29. C'est un changement absolument majeur. Et la sanction pourra atteindre 4% du chiffre d'affaires mondial de l'organisme sanctionné. Tout cela donnera une capacité d'influence à l'Europe bien supérieure à celle d'aujourd'hui.
Mais la CNIL ne pourra-t-elle jamais sanctionner toutes les dérives?
Les policiers non plus ne punissent pas tous les voleurs de pomme. Le but de la CNIL n'est pas de sanctionner tous azimuts, mais de faire en sorte que le cadre juridique soit respecté. La sanction est pour nous une arme de dissuasion. Nous en prononçons une quinzaine par an, ce n'est pas avec ce seul outil que nous allons régler tous les problèmes. Comment réguler un univers aussi émietté que le numérique? Non pas en sanctionnant tout le monde, mais en faisant en sorte que les différents acteurs intègrent ces principes «informatique et libertés», grâce aux outils du régulateur.
Notre approche consiste à élaborer avec les industries (la banque, l'assurance, les compteurs communicants...) des référentiels par secteur: nous partons de leurs besoins en termes d'usage des données, et nous examinons avec eux comment apporter une réponse «informatique et libertés». Ces «packs de conformité», des codes de conduite, permettent de décliner les principes d'une façon fine, ce qu'évidemment ne peut pas faire la loi. C'est d'ailleurs la logique du nouveau règlement européen.
On a le sentiment que les entreprises découvrent aujourd'hui, avec le RGPD, qu'existe déjà un cadre juridique qui devrait s'appliquer...
Vous avez raison, il y a un effet de rattrapage avec le RGPD, qui explique une partie des craintes des uns et des autres. Bon nombre d'entreprises n'ont pas suffisamment pris au sérieux la problématique des données. Le RGPD, à travers son niveau de sanction, fait remonter la protection des données à un niveau stratégique. Les entreprises prennent conscience de ce qu'elles ne font déjà pas depuis quarante ans... Nous en prenons acte, et nous nous organisons pour les accompagner dans cet effort de rattrapage.
La situation est surtout délicate pour les petites structures. Nous allons leur proposer en mars un «kit» opérationnel, facile à utiliser, pour se mettre en conformité. Le défi est de taille, mais je suis convaincue que l'investissement sera rentable pour les entreprises, car il répond aux attentes des consommateurs en termes de confiance et de garantie dans le numérique.
La CNIL a-t-elle les moyens de remplir sesmissions?
Face à une hausse continue des sollicitations, la commission consent depuis plusieurs années un effort de productivité considérable. Mais nous arrivons maintenant à un point de rupture. Il y a aujourd'hui 200 personnes à la CNIL, avec un budget de 17millions d'euros. Nos homologues allemands sont 600, ils sontautant en Angleterre, les Polonais sont 150, et l'Irlande a considérablement renforcé ses effectifs en2017.
En France, nous devrions évidemment avoir des ressources plus importantes, notamment au début du RGPD: les entreprises qui doivent apprivoiser ce nouveau cadre juridique attendent de la disponibilité de la part du régulateur. Par ailleurs, les grands groupes internationaux vont devoir choisir où se situe leur établissement principal en Europe, et cela déterminera leur autorité de régulation: il est donc très important que la France soit présente pour faire valoir nos services d'accompagnement. Il ne faut pas manquer ce rendez-vous.
Avez-vous le sentiment que la CNIL est entendue par l'Etat?
La CNIL, par construction, est un contre-pouvoir. Elle donne des avis, mais elle n'est pas toujours entendue... Ce qui ne signifie pas que ses avis sont inutiles. Par exemple, sur la loi Renseignement de 2015, qui a cristallisé nombre des oppositions dans la sphère publique, nous avons dit que la manière de présenter le sujet n'était pas la bonne: l'opposition binaire entre sécurité et liberté est une manière un peu stérile de poser le débat. Les besoins de sécurité étant inépuisables, on en arriverait, inéluctablement, à avoir des caméras vidéo surveillant tout le monde, des drones aux fenêtres...
Le défi, c'est l'Internet ambiant, les objets connectés, la capacité de traiter toutes les données qui sortent de cet environnement, par le biais de l'intelligence artificielle
Si l'on veut rester dans un Etat de droit, il faut raisonner avec un troisième élément: les garanties. Si les besoins de sécurité conduisent à mettre en place des moyens nouveaux pour les services de renseignement, il faut dans le même temps mettre en place de nouvelles garanties au bénéfice des personnes. Il faut par exemple une clause de révision à cette loi Renseignement, que les boîtes noires soient limitées à certaines finalités, que les gens qui ont accès à ces données soient strictement encadrés. La CNIL a ainsi proposé une série de mesures visant à desserrer le filet de la surveillance de masse, et cet apport a été extrêmement utile. Après, il y a une responsabilité politique du législateur.
Estimez-vous aujourd'hui qu'un équilibre aété trouvé?
Je pense en tout cas qu'un gros progrès a été fait. Si la loi est satisfaisante sur le contrôle en amont de la collecte des données par les services de renseignement, elle l'est beaucoup moins sur le contrôle en aval de ces fichiers, qui échappent à tout contrôle extérieur. C'est pour cela que nous avions demandé à être chargés de ce contrôle. Nous n'avons pas été entendus. Peut-être la loi CNIL 2, présentée en conseil des ministres le 13décembre et qui intègre le nouveau règlement européen dans le droit français, permettra-t-elle de rouvrir ce débat.
Vous êtes satisfaite de cette loi CNIL 2?
Notre objectif principal, c'est que cette loi soit votée dans le délai imparti, au plus tard le 25mai prochain. Ça paraît un peu prosaïque, mais c'est absolument fondamental parce que, si par hasard nous étions en retard, nous bloquerions toute la procédure répressive européenne. Ce n'est pas une loi de transposition, c'est une loi qui conditionne la possibilité pour la CNIL de participer à une sanction européenne commune.
Comment envisagez-vous les prochaines années?
Le défi, c'est, je pense, l'Internet ambiant, les objets connectés, la capacité de traiter toutes les données qui sortent de cet environnement, par le biais de l'intelligence artificielle. Le défi, c'est le cadre qu'on met en place pour ces intelligences artificielles. Nous avons proposé un certain nombre de principes, qui nous paraissent assez fondateurs et que j'aimerais porter au niveau mondial: le principe de loyauté et le principe de vigilance, ou de questionnement régulier. Cela me paraît être un sujet majeur.
DATE-CHARGEMENT: 25 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Monde
Tous droits réservés
111 of 500 DOCUMENTS
Le Cercle
jeudi 25 janvier 2018
Coopération et collaboration, les piliers incontournables de l'Europe de demain
AUTEUR: Frédéric Durand
RUBRIQUE: ARTICLE; L'Europe, un potentiel et une richesse à valoriser
LONGUEUR: 1396 mots
ENCART: Face à un marché européen fragmenté et totalement désintermédié, les acteurs américains et asiatiques tirent leur puissance de leurs énormes marchés domestiques. Et ce, tout en attirant les investissements des grands groupes européens.
Si les instances européennes ont conscience du problème, tant au niveau économique que culturel et fiscal, elles peinent à faire émerger leurs géants. Seule solution pour l'Europe : miser sur la coopération et la collaboration.
L'Europe, un potentiel et une richesse à valoriser
Dans son ensemble, l'Europe présente des atouts technologiques considérables. Si l'Union européenne édite la plus grosse part de publications scientifiques dans le monde (juste devant les États-Unis), le Vieux Continent accuse un retard dans de nombreux domaines : énergie, alimentation, santé, climat, ou encore technologies. En cause : la difficulté à mettre en place une politique commune, à harmoniser les ambitions de recherche et à dépasser des cadres réglementaires contraignants. Dans ce contexte, le risque d'une relégation technologique reste tout à fait envisageable, dans une économie pénalisée par de forts coûts de production.
Pourtant, l'exemple historique d'Airbus est la preuve de la capacité de l'Europe à innover. La mise en commun des compétences européennes en matière d'aéronautique a débuté en 1965, lorsqu'Air France, British Airways (Royaume-Uni) et Lufthansa (Allemagne) ont décidé d'unir leurs efforts pour concevoir un avion leur permettant de développer un réseau aérien européen. En trente ans, Airbus s'est imposé comme le leader mondial du secteur : il a réussi à mettre en valeur le savoir-faire européen et à devenir l'un des objets de fierté légitime de l'Europe. Le constructeur a dépassé en 2003 son principal concurrent, l'Américain Boeing : il revendique aujourd'hui 56,6 % des parts de marché de l'aviation civile. Et une compagnie chinoise, China Aircraft Leasing Company, vient d'annoncer un accord avec l'avionneur européen s'élevant à 4,5 milliards d'euros pour l'acquisition de cinquante appareils moyen-courrier A320 NEO. Sans oublier la commande de 36 A380 annoncée récemment par Emirates qui donne à Airbus "une visibilité pour au moins les dix ans à venir", selon Tom Enders, le PDG du groupe.
Se maintenir dans la course technologique mondiale
S'il est difficile de miser sur une stratégie occidentale au vu de la puissance américaine, une stratégie européenne est possible, via une logique de coopération ponctuelle qui permettrait au continent de se maintenir, entre autres, dans la course technologique mondiale. Blockchain, intelligence artificielle, biotechnologie, drones, cybersécurité, cloud : autant de domaines déjà en train de modeler le futur de l'humanité. Or, selon une enquête de Bloomberg parue en 2011, seules sept des cent premières entreprises de high-tech étaient basées en Europe. Le Financial Times pointe quant à lui que huit des premières sociétés européennes réunies pèsent l'équivalent de 10 % de Facebook et de 6 % de Google. Un constat qui vaut également en comparaison de puissances asiatiques comme Baidu, Alibaba ou Tencent Holdings avec WeChat.
Malgré ses indéniables atouts (sa taille, la puissance de sa formation, son haut niveau en matière de savoir-faire technologique), l'Europe souffre en effet de sa plus grande richesse : la diversité de ses pays, de ses populations et de ses ressources. À chaque création d'entreprise, c'est un marché local qu'il faut conquérir avant de s'attaquer aux pays voisins, selon une stratégie dédiée et nécessairement plus périlleuse que des géants homogènes comme les États-Unis ou la Chine.
Pourtant, les talents européens issus de formations de pointe ne manquent pas : la fuite des cerveaux vers les États-Unis et l'Asie continue de creuser les écarts dans des secteurs incontournables comme l'intelligence artificielle. Yann LeCun, directeur du laboratoire de recherche en intelligence artificielle de Facebook, pionnier des réseaux de neurones artificiels, n'est-il pas Français ?
Un rapport publié en 2016 par le Conseil d'analyse économique (CAE), "Préparer la France à la mobilité internationale croissante des talents", s'interroge : le nombre croissant de nos concitoyens diplômés qui partent travailler à l'étranger, contribuant à la prospérité d'autres pays, est symptomatique du schéma néfaste qui s'établit pour l'Hexagone, et plus largement pour l'Europe. Si le nombre de jeunes étrangers diplômés du supérieur qui s'installent en France est plus élevé que celui des Français qui partent travailler à l'étranger, le solde ne reste positif qu'en apparence. Les auteurs du rapport craignent ainsi que l'apport économique des arrivants ne puisse compenser le coût des subventions publiques à l'éducation et du système de soins et de la retraite pour ceux qui reviennent après avoir passé leur vie professionnelle à l'étranger.
Construire un cadre pour favoriser l'éclosion des talents
Pour faire face à la mobilité des cerveaux, l'Europe doit donc améliorer son attractivité et harmoniser les secteurs de la recherche et du développement pour avancer dans la même direction. Un exemple à suivre : celui des pays scandinaves, de l'Estonie et du Danemark, qui font montre d'une stratégie numérique concrète. L'augmentation des budgets - 1,81 % de son PIB pour la recherche en Europe, contre 2,68 % aux États-Unis - ne se limite donc pas aux hautes technologies.
Il est urgent de gérer le morcellement européen en assurant la construction d'un cadre apte à favoriser l'éclosion de talents et d'une innovation pérenne. Une première étape consisterait à assouplir les contraintes réglementaires et fiscales qui paralysent parfois la croissance internationale des entreprises. L'arrivée en 2018 de la loi RGPD (Règlement Général sur la Protection des Données) est un exemple parlant de l'obsession de l'Europe en matière de réglementation. Son objectif : sanctionner les entreprises qui n'auront pas mis en place un système - indispensable, certes - de protection des données. Ce qui signifie, concrètement, alourdir encore les démarches de création d'entreprise ou d'implantation d'entités étrangères en Europe, là où elles sont facilitées par la plus grande souplesse des réglementations américaine et asiatique.
Pour permettre à l'Europe de lutter à armes égales, la construction d'un nouveau cadre doit également prendre en compte la méfiance culturelle de l'Europe envers les nouvelles technologies. Comme le souligne un sondage Ifop du 10 octobre 2017, 64 % des Français se disent "inquiets" du développement de l'intelligence artificielle. Cette appréhension, les Américains et les Asiatiques ne semblent pas la partager, ou dans une bien moindre mesure ; ils savent que ceux qui contrôleront l'intelligence artificielle auront demain la main sur l'éducation, la santé ou encore la banque et la finance. L'industrie numérique a en effet un impact sur l'ensemble des secteurs et des industries : ce n'est pas au grand public, mais bien aux gouvernements, d'en prendre conscience afin de se positionner comme il se doit sur l'échiquier mondial.
La France, un exemple à suivre ?
Avec ses milliers de chercheurs, ses inventeurs du monde numérique tels que l'INRIA et ses groupes de biotechnologies comme Eurofins Scientific, la France compte parmi les premières puissances européennes à pouvoir apporter une pierre à cet édifice en construction. Les acteurs de la Fintech, par exemple, ces start-ups qui réinventent la finance à l'aide des technologies, représentent plus d'un million d'emplois en France, pour 4 % de son PIB. Notre pays reste ainsi le premier grand pays européen en matière d'usage d'Internet dans les services bancaires. Elle détient de nombreuses entités dynamiques comme Lendix, Ulule, Tiller, Wynd et Leetchi ; les événements consacrés au modèle se multiplient, à l'image du Paris Fintech Forum ou de Fintech Revolution. Nos voisins allemands et anglais ont eux aussi leurs propres hubs Fintech.
Face aux réseaux plus centralisés des géants mondiaux, l'heure est à la concentration et à la coopération, notamment entre universités et entreprises. Pour durer, grandir et innover, l'Union européenne doit continuer sur la voie qui lui réussit le mieux et qui est à l'origine de sa création : celle de la collaboration. Pour que la mise en musique soit harmonieuse, nous devons donc créer une partition commune. C'est à cette condition que l'Europe saura retrouver son leadership technologique.
------
1 https://www.challenges.fr/entreprise/aeronautique/a380-le-patron-d-airbus-assure-avoir-au-moins-dix-ans-de-visibilite-pour-le-plus-gros-avion-du-monde_561803
DATE-CHARGEMENT: 26 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
112 of 500 DOCUMENTS
Stratégies
25 janvier 2018
Edition 1;
National Edition
MOBILISATION GÉNÉRALE POUR LE RGPD;
DIGITAL Le temps est désormais compté pour engager la mise en conformité avec le RÈglement européen protection des données. La réussite ou l'échec du processus reposera en grande partie sur l'engagement des dirigeants et des managers.
AUTEUR: GILMAR SEQUEIRA MARTINS
RUBRIQUE: MANAGEMENT ENQUÊTE; Pg. 44,45
LONGUEUR: 1243 mots
Fin octobre 2017, soit sept mois avant l'entrée en application du Réglement européen de protection des données (RGPD), le baromÈtre Converteo montrait que seuls 6 % des sites audités étaient conformes à celui-ci. Pour les autres, 40 % n'indiquaient pas la finalité du traitement de la data et 76 % ne fournissaient aucune information sur la durée de conservation. Autant de pratiques qu'il va falloir faire évoluer rapidement, mais comment ? Dentsu Aegis Network vient de recruter en ce sens Guillaume Tollet comme data protection officer (DPO), un métier promis à un grand avenir dans les mois prochains [lire ci-contre].
Guillaume Cardon, managing director de Sutter Mills, une plateforme de conseil data, estime que le RGPD exige une impulsion forte : « Il faut que ce soit un projet d'entreprise porté par le Comex [comité exécutif], c'est une question de drive et de leadership. » Sans doute les concepteurs du réglement européen avaient-ils un scénario de ce type en tête. Ils ont en effet prévu des sanctions financiÈres importantes - jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros - et la possibilité d'engager la responsabilité pénale des dirigeants. De quoi faire entrer le RGPD dans le peloton de tête des risques au menu habituel d'un comité exécutif. Mais Guillaume Cardon y voit aussi une opportunité : « C'est un catalyseur, et il faut aller au-delà afin qu'émerge un projet que pourront s'approprier toutes les composantes de l'entreprise. » UNE DÉMARCHE DE CERTIFICATION.
Chez Mailjet, plateforme qui envoie chaque jour 80 millions d'emails, le RGPD revêt une importance majeure. Le processus de mise en conformité a donc démarré dÈs janvier 2017 et cinq chantiers ont été définis. Au préalable, une démarche de certification ISO 27001 [organisation internationale de normalisation] relative au management de la sécurité de l'information a aussi été enclenchée. Elle a abouti à une accréditation en septembre 2017, explique Alexis Renard, le président de Mailjet : « Cela permet une analyse systématique des process et des modes de fonctionnement puis de mettre en place des actions correctives sous le contrôle d'un auditeur. Cette démarche de certification correspondait aux besoins de notre activité et aux attentes de nos clients. Elle nous a été utile car elle couvre beaucoup d'aspects du RGPD. » Le premier chantier relatif au RGPD lui-même a porté sur la Avis d'expert « Certains clients ont une stratégie de mieux-disant » GUILLAUME TOLLET data protection officer (DPO) « Deux points fondamentaux sont à travailler avec le client. Le premier, c'est l'évolution du consentement, qui doit être explicite avec le RGPD. Le souci, c'est que le rÈglement e-Privacy, qui spécifie les rÈgles applicables aux opérateurs et aux acteurs du marketing, n'est pas encore finalisé et que sa date d'application n'est pas encore connue. Une période floue s'ouvre de mai 2018 à 2019 durant laquelle il va falloir conseiller les clients en fonction des rÈgles déjà applicables et des spécificités de leur secteur. Certains clients ont déjà une stratégie de mieuxdisant par rapport au RGPD qui s'inscrit dans une de Dentsu Aegis Network France démarche de stratégie éthique. La sécurité de l'hébergement des données est le deuxiÈme point clé à bien vérifier. Nous avons une action à deux niveaux pour vérifier nos prestataires. La premiÈre passe par un questionnaire détaillé. La seconde, par un point téléphonique ou une rencontre afin de connaître précisément leur feuille de route pour la mise en conformité RGPD. Nous avons déjà réalisé 50% de ce travail de vérification de nos prestataires. Ce process de vérification permet aussi d'évaluer la capacité de réponse des prestataires et donc d'enrichir le conseil fourni à nos clients. » structure des bases de données afin de mettre en oeuvre les nouveaux droits des personnes tels que le droit à l'oubli. Une phase qui passe notamment par l'anonymisation car il n'est pas toujours possible d'effacer purement et simplement un enregistrement d'une base de données. « Cela apporte le niveau de garanties nécessaires pour le droit à l'oubli tout en respectant les contraintes d'intégrité des bases de données », explique Alexis Renard.
OPPORTUNITÉ DE GAINS OPÉRATIONNELS. Le second chantier devait permettre aux clients de faire valoir leur droits. Désormais, l'accord du correspondant « Informatique et Libertés » (CIL) est requis pour installer une application tierce et les nouvelles recrues sont formées à la sécurité afin d'éviter les clics sur les mails, liens et piÈces jointes dont la provenance est inconnue.
Le troisiÈme chantier, la révision des contrats avec les soustraitants, a permis d'y inclure les contraintes propres au RPGD, mais aussi de vérifier l'état d'avancement de leur mise en conformité avec le rÈglement européen. Tous les prestataires de Mailjet ne sont pas logés à la même enseigne, note Alexis Renard : « Nous n'avons pas d'inquiétude avec des prestataires comme Google, qui sont armés pour gérer le RGPD. Ce sont plutôt les sociétés de taille moins importante, situées aux États-Unis, qu'il faut convaincre car elles sont peu informées. Selon la capacité des sous-traitants à aller vers la mise en conformité, cela peut remettre en question la relation commerciale. Pour l'instant, la conformité au RGPD n'est pas encore un motif recevable de résiliation de contrat. » Les deux derniers chantiers ont porté sur une communication en deux phases : la premiÈre à destination des salariés et contractants et la seconde vers les clients. Mailjet a ainsi réguliÈrement communiqué sur le RGPD, organisé webinaires et conférences, publié des livres blancs et bien sûr, envoyé nombre de newsletters sur ce thÈme.
Exemplaire par son degré d'anticipation et le périmÈtre couvert, une telle démarche concilie conformité et efficacité opérationnelle. Alors que l'échéance approche à grands pas, elle n'a pas encore fait assez d'émules, déplore Jean-Bernard Guidt, directeur associé Business et Technologies de Keyrus Management : « La moitié des entreprises considÈre encore le sujet de loin ou seulement sous l'ange juridique, quitte à le confier aux équipes du marketing car ils sont au coeur de la gestion des données clients. » Une trajectoire qui a toutes les chances d'aboutir à une mise en conformité dans la douleur et sans véritable gain d'efficacité. ?
mouvements DASSAULT SYSTÈMES.
Florence Verzelen, ex-directrice générale de Engie Russie, a été nommée directrice générale adjointe industries, marketing, affaires internationales et communication.
EDITIS. Sofia Bengana, éditrice du groupe Figaro chargée des diversifications de la marque, rejoint le groupe en tant que présidente de Place des Éditeurs.
GROUPE TF1. Fabien Namias est nommé au poste de directeur général adjoint de LCI sous la responsabilité de Thierry Thuillier, directeur de l'information du groupe.
MARCEL. Leïla Touiti-Rose, directrice de la communication de FullSix France (groupe Havas), s'apprête à prendre la direction de la communication de l'agence du groupe Publicis.
MEDIA.FIGARO. Sarah Herz arrive en tant que directrice éditoriale de la régie. Elle aura pour mission le développement de la stratégie éditoriale, la création de formats et l'innovation des dispositifs de communication pour les marques.
SID LEE PARIS. Aliou Maro rejoint l'agence en tant que directeur de la communication, aprÈs avoir passé cinqans chez Fred & Farid en tant que corporate communications PR & ePR manager.
DATE-CHARGEMENT: January 25, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: © Getty Images
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
113 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 24 Janvier 2018
6 outils de monitoring d'apps mobiles sélectionnés par le JDN
AUTEUR: Xavier Biseul
RUBRIQUE: ARTICLES; DSI
LONGUEUR: 1742 mots
ENCART: AppDynamics, Crashlytics, Dynatrace, New Relic... Tour d'horizon de quelques outils d'application performance management taillés pour mobile, avec leurs forces et faiblesses.
Parmi les éditeurs de solutions dédiées au monitoring d'applications mobiles, on retrouve les acteurs historiques de l'APM (pout application performance management) tels que Dynatrace, AppDynamics ou New Relic. Des éditeurs qui maîtrisent historiquement la quasi-intégralité des processus de supervision applicative, de l'analyse de code au reporting de crashs en passant par la gestion des performances du back-end (CPU, RAM) et des capacités réseau. Restaient pour eux à prendre en charge la partie frontend dont les technologies sont spécifiques aux applications mobiles. C'est désormais chose faite. A l'inverse, un outil comme Apteligent (VMware) est, lui, historiquement pensé nativement pour la supervision des applications mobiles.
New Relic Mobile, pure player du SaaS
Pure player du monitoring applicatif en mode SaaS, New Relic est un poids lourd du marché de l'APM. Cotée en bourse, cette société californienne créée en 2008 est valorisée plus de 3 milliards de dollars. Au-delà de la supervision de sites, d'applications web ou encore d'infrastructures informatiques, New Relic a étendu son offre aux usages mobiles.
Avec New Relic Mobile, l'éditeur propose une solution de supervision d'application conçue pour se mettre à la place d'un utilisateur. L'outil se propose d'analyser les scénarios fonctionnels, leur consommation en termes de CPU et de mémoire, et de mesurer les performances réseau à partir des requêtes HTTP. Sur une carte du monde, New Relic Mobile pointe, pays par pays, les temps de réponse moyens, le volume de trafic, les types de pannes réseaux récurrentes...
Le reporting d'incidents permet, lui, de visualiser le nombre réel d'utilisateurs touchés par un crash, le pourcentage de sessions ayant planté sur une période donnée, et ce par OS ou par version de l'application. Côté tarifs, New Relic est un des rares éditeurs à afficher la couleur sur son site. Le prix d'entrée de son offre débute à partir de 999 dollars par mois et par application incluant 100 000 utilisateurs actifs mensuels.
Dans son dernier benchmark, le Gartner regrette que New Relic ne dispose pas de datacenter en Europe, et pointe son retard dans l'adoption des technologies de machine learning. Depuis, New Relic a lancé le projet Seymour qui vise à doter sa plateforme de capacités de l'intelligence artificielle.
DynaTrace, leader de l'APM
En tête du classement du Gartner pour la cinquième année consécutive, Dynatrace est un autre acteur incontournable de l'APM. Un temps propriété de Compuware, la société de Boston appartient aujourd'hui au fonds d'investissement Thoma Bravo. Ciblant d'abord les grands comptes, elle revendique 72 sociétés clientes dans le Fortune 100. La déclinaison mobile de sa solution couvre tout le spectre attendu dans l'APM mobile. Centrée sur l'utilisateur, elle permet de suivre les chemins d'accès et d'analyser le degré de satisfaction client, pays par pays. Les crashs sont ventilés en fonction de la version de l'application ainsi que des types de périphériques et de systèmes d'exploitation. Dynatrace assure la supervision des applications Android et iOS et des plateformes Apache Cordova, Kony et PhoneGap.
Dynatrace s'est aussi investi sur le terrain de l'intelligence artificielle et propose un assistant virtuel baptisé Davis. En novembre dernier, l'éditeur a racheté Qumram. Sa technologie de "session replay" offre la possibilité de rejouer visuellement une session utilisateur pour une application mobile ou web. Alors que Dynatrace a entrepris un travail d'unification de son interface utilisateur, le Gartner pointe le trop grand nombre de consoles et d'écrans au sein du produit.
AppDynamics, pionnier sur les usages
Fondée en 2008, AppDynamics fait également partie des éditeurs d'APM généralement retenus en "short list". La société californienne rachetée en janvier 2017 par Cisco pour 3,7 milliards de dollars a, semble-t-il, le vent en poupe. Selon Gartner, elle connaît l'un des taux de croissance les plus élevés "voire le plus élevé du marché".
AppDynamics a proposé assez vite une solution spécifique aux usages mobiles. Elle est lancée en avril 2014. Résultat : il s'agit d'un des tous premiers éditeurs à couvrir de bout en bout le monitoring des sites et applications web et mobiles. Classiquement, l'outil surveille les requêtes réseau en temps réel, capture les événements et analyse les sessions par pays, type d'appareil, OS ou opérateur. AppDynamics mesure le temps passé sur chaque écran et la façon dont l'utilisateur interagit avec l'application.
En cas d'erreur ou de bug, AppDynamics met en corrélation la capture d'écran correspondante et le code associé. Donnant ainsi la possibilité de visualiser l'interface de l'utilisateur au moment où le problème se produit. Une autre fonctionnalité permet de mesurer l'impact des performances de l'application sur les résultats "business". AppDynamics prend en charge les environnements iOS, Android et Xamarin. Pour le Gartner, le coût des produits de l'éditeur représente un frein à leur adoption par les petites entreprises aux besoins de monitoring modestes.
Crashlytics, un outil gratuit
Rachetée par Twitter en janvier 2013 puis acquise par Google quatre ans plus tard, la société Fabric est avant tout connue pour son outil de "crash test" Crashlytics. Depuis lors proposé gratuitement, Crashlytics est devenu une solution incontournable sur le terrain des rapports d'incidents ou encore de l'analyse statistique de logs des applications mobiles.
Prenant en charge les systèmes iOS, Android et Unity, les outils de Fabric sont embarqués dans un très grand nombre d'applications. Au total, ils seraient présents par ce biais dans plus de 2,5 milliards de terminaux dans le monde. "Crashlytics est entré dans les m½urs. 100% des applications mobiles que je connais l'embarque", observe Christophe Legland, fondateur de l'application Serndip et spécialiste de l'APM.
Google a déjà commencé à intégrer Crashlytics à Firebase, sa plateforme de gestion de backend d'applications mobiles. Lors du dernier Firebase Dev Summit en octobre 2017, le géant américain a dévoilé une version bêta de Crashlytics pour Firebase. Elle permet de réaliser des "crash test" d'applications depuis la plateforme, ou encore d'assurer le suivi de la stabilité d'un système critique. La version originelle, "Crashlytics on Fabric" est pour l'heure maintenue.
AppPulse, la carte de la simplicité
Un an après l'annonce de l'opération, Micro Focus a finalisé, en septembre 2017, le rachat des activités logicielles de HPE que ce dernier jugeait non-stratégiques. Une opération évaluée à quelque 8,8 milliards de dollars. Dans la corbeille, le groupe britannique récupère la plateforme AppPulse, dédiée à la surveillance des performances applicatives.
Dans sa version orientée mobile, AppPulse joue la carte de la simplicité. L'implémentation d'AppPulse ne nécessite pas de modifier le code applicatif ou d'ajouter des balises. L'outil fournit aussi un indice de référence, baptisé FunDex, qui estime le degré de satisfaction des utilisateurs. L'agrégation des différentes métriques, telles que le nombre de plantages ou le taux d'actions lentes, aboutit à un score unique qui permet d'apprécier rapidement les performances d'une app mobile
Pour le Gartner, l'intégration de l'offre d'APM de HPE Software au portefeuille de Micro Focus pourrait retarder la feuille de route du produit. Une roadmap qui souffrirait par ailleurs d'un manque de visibilité en dehors du monde des opérations IT. AppPulse est proposée à partir de 99 dollars par application et par mois.
Apteligent, une brique signée VMWare
Encore une autre acquisition dans le mouvement de consolidation qui s'opère sur le marché de l'AMP. VMware a racheté Apteligent en mai dernier. Connue initialement sous le nom de Crittercism, cette start-up, créée en 2011, édite une solution d'analyse en temps réel de la performance des applications mobiles sous Android, iOS ou Windows.
En intégrant Apteligent à son offre, VMware entend proposer une gestion des performances informatiques de bout en bout, des terminaux mobiles aux infrastructures de cloud public ou privé. Le spécialiste de la virtualisation avait déjà acquis en 2014 AirWatch, une société de gestion des périphériques mobiles. En avril 2017, c'était au tour de Wavefront, outil de monitoring des applications et services cloud, de tomber dans son escarcelle.
Apteligent se donne pour ambition de donner une vision à 360° de l'état de santé d'une application. Les développeurs sont informés des pannes et perturbations réseau tandis que les équipes business se voient proposer des pistes d'amélioration sur la base de l'analyse du comportement des utilisateurs.
Magic quadrant du Gartner sur les solutions d'APM (application performance management). © Gartner
Pour Christophe Legland de Serndip, les outils d'APM orientés mobilité se différencient notamment en fonction du nombre de kits de développement (SDK) qu'ils embarquent. "Au fil du temps, on a assisté à une multiplication des sondes. On trouve des SDK pour l'user tracking, le sentiment analysis, Google Analytics... Avec cette inflation, les applications prennent de l'embonpoint et consomment davantage de batterie. Ce qui peut être handicapant pour les smartphones bas de gamme. Par ailleurs, plus on embarque des bouts de code et plus on multiplie les bugs potentiels", explique le consultant. Un comble pour des outils de monitoring ! A cet égard, Christophe Legland donne un satisfecit à Micros Focus dont la solution repose un SDK unique.
Pour notre expert, un autre point de vigilance doit être porté à la collecte, au stockage et au traitement des données personnelles de citoyens européens. Même effectués hors de l'UE, ces processus doivent répondre aux exigences de la législation RGPD qui entrera en vigueur en mai prochain. Des solutions de tracking pour apps mobiles comme Adjust, MAT et AppsFlyer seraient déjà conformes à cette nouvelle réglementation. Les éditeurs d'outils d'APM, qui ont tous pris le virage du SaaS, envisageraient, de leur côté, de proposer des versions de leur offre installables en interne (ou on-premise) pour répondre au niveau de sécurité et de confidentialité attendu par certaines entreprises. Un curieux retour en arrière.
A lire aussi Monitoring de la performance : 4 outils cloud à la loupe
AppDynamics, Datadog, Dynatrace et New Relic : quels sont leurs points forts, leurs faiblesses, leurs tarifs ? Sur quoi concentrent-ils leurs offres ?
DATE-CHARGEMENT: 9 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2018 Benchmark Group
Tous droits réservés
114 of 500 DOCUMENTS
La Tribune.fr
Mercredi 24 Janvier 2018 6:00 AM CET
La Fintech française ne veut plus être « une forêt de bonzaïs »
AUTEUR: Delphine Cuny
RUBRIQUE: ENTREPRISES & FINANCE; BANQUES / FINANCE
LONGUEUR: 1537 mots
ENCART: Le secrétaire d Etat au Numérique Mounir Mahjoubi a rencontré des fondateurs et dirigeants de startups de la finance comme Younited Credit, Lydia, Alan et Famoco, pour recueillir les points de blocage. Les acteurs de la Fintech ont exprimé leur frustration à l égard de la réglementation, trop contraignante et vieillotte, et leurs difficultés à lever plus de 10 millions auprès de fonds français.
[Article mis à jour à 17h] Comment faire grandir les startups de la finance en France ? Le secrétaire d'Etat au Numérique, Mounir Mahjoubi, est allé à la rencontre des fondateurs et dirigeants de Fintech ce mardi, dans le cadre de sa tournée dans toute la France auprès des différentes composantes de la French Tech. Devant un café et des croissants au dernier étage des locaux parisiens de Bpifrance, les plus ou moins jeunes loups qui veulent faire « sauter la banque » (ou l'assurance pour l'Insurtech) n'ont pas joué les timides quand le ministre les a interrogés sur leurs « irritants », selon le jargon marketing du milieu, les obstacles à leur développement et leurs frustrations au quotidien. Deux points ressortent nettement : la réglementation, jugée trop contraignante et vieillotte, et les difficultés à mener des tours de table importants avec des fonds de capital-risque français. Des propositions seront présentées à l'issue de ce "Tour des startups" sous trois mois.
« La priorité que nous nous sommes donnés pour la Fintech est de consacrer la moitié du temps à identifier les entreprises qui ont besoin de grandir, les « scale-up » [startups en phase d'hypercroissance et d'expansion internationale, ndlr] et l'autre moitié du temps à l'écosystème et à son animation territoriale. Nous voulons aussi y promouvoir la mixité et la diversité, qui sont de vrais enjeux », a insisté le secrétaire d'Etat, devant un parterre à 90% masculin. Lire aussi : C'est quoi une Fintech ?
Réglementation « trop datée » La réglementation, le fardeau dont se plaignent les acteurs traditionnels de la banque et de la finance, apparaît comme la prise de tête numéro un des Fintech aussi, pour leur mise en conformité. Manque de dialogue constructif, demandes surdimensionnées, réponses trop lentes, voire vision archaïque, les propos étaient plutôt acerbes.
« Si la France veut être une Fintech nation et une Insurtech nation, il faut que les régulateurs arrêtent de donner de petits agréments comme celui d'établissement de paiement, mais de vrais agréments, comme en Allemagne : nous avons obtenu le premier agrément d'établissement de crédit en 15 ans et Alan le premier dans l'assurance depuis trente ans ! » a argumenté Geoffroy Guigou, le cofondateur de la plateforme de crédit conso aux particuliers Younited Credit. « En termes de fonds propres, il y a une règle non écrite, une doctrine connue de tous qui consiste à avoir un établissement de crédit au capital, détenant au moins 10% ou 20%. Il faut donner plus d'agréments sans condition de consanguinité. » Geoffroy Guigou a aussi milité pour que les organismes de place (à l'image de Paris Europlace) s'ouvrent davantage à la relève et ne soient « pas seulement des maisons de retraite pour banquiers ou assureurs, car beaucoup de choses passent par ces organismes. » Pour ces entreprises misant à 100% sur le numérique, le maintien de certaines règles semble inadapté :
« En France, on ne lutte pas vraiment contre la fraude, on fait juste de la conformité. On refuse l'authentification vidéo, alors que la Bafin [le régulateur financier allemand, ndlr] l'a acceptée. On doit demander une carte d'identité et un justificatif de domicile, partout en Europe, pendant que l'allemand N26 fait de la vidéo, y compris en France. Je préférerais faire de la biométrie. On est au Moyen-Age du KYC [know your customer, connaissance du client]. Ce sont des freins à la compétitivité », a regretté Cyril Chiche, le président de l'appli de paiement Lydia. Arnaud Burgot, le directeur général de la plateforme de financement participatif Ulule, a évoqué un tracas connexe :
« Le problème de la fraude documentaire : on demande une carte d'identité, c'est complètement daté ! C'est très facile de photoshopper une carte d'identité et on peut s'en procurer facilement sur le darknet. Il faut pouvoir lutter vraiment contre le vol d'identité » a-t-il plaidé.
Bac à sable réglementaire et opportunités du RGPD Le dirigeant d'Ulule s'est plaint du poids de la lutte contre la fraude pour une jeune pousse comme la sienne : « Les cartes prépayées sont dans le viseur de Tracfin : les seuils liés à la monnaie électronique ont été abaissés sans prendre en compte les autres acteurs qui utilisent cet outil, ce qui nous oblige à devenir agent d'établissement de paiement. Il y a un sujet de surtransposition des directives européennes, qui se traduit par plus de temps administratif sans gain réel dans la lutte contre le blanchiment », a-t-il estimé.
« On avance sur ces sujets. On fera de l'authentification forte partout dans trois ou quatre ans, mais certains me répondront peut-être que d'ici là, vous risquez d'être morts ! », a réagi le secrétaire d'Etat. Il s'est déclaré favorable à un « bac à sable » réglementaire (la « sandbox » à l'anglaise), où les jeunes pousses peuvent expérimenter sans contrainte jusqu'à un certain seuil d'activité.
« On contrôle mieux le risque dans un environnement de type "sandbox" », a fait valoir Mounir Mahjoubi. Il a également objecté à ceux qui s'en plaignaient que l'entrée en vigueur en mai dans l'UE du Règlement général sur la protection des données (RGPD) était une avancée.
« Le RGPD, c'est une révolution et des milliards d'euros d'opportunité pour des entreprises européennes qui sauront valoriser les métadonnées et permettre aux utilisateurs de récupérer leur patrimoine de données », a relevé Mounir Mahjoubi.
Une forêt de bonzaïs L'autre sujet de débat portait sur la capacité à monter en puissance des startups de la finance française, qui restent de taille modeste par rapport aux britanniques, comme TransferWise ou Funding Circle, aux suédoises comme Klarna ou iZettle, aux allemandes comme Kreditech ou néerlandaises comme Adyen. Une seule française apparaît dans les 50 premières du classement mondial Fintech 100 de KPMG : le site de prêts aux PME Lendix.
« Il y a un gros problème de financement. Toutes les levées de fonds de plus de 10 millions d'euros doivent passer par un fonds étranger, américain ou autre. Nous avons un beau terreau de "seed" (amorçage), on est très bon en ingénierie financière, LBO, dette mezzanine, mais il n'y a que deux acteurs pour les levées de 10 à 100 millions, Idinvest et Partech » a déploré Cyril Chiche, de Lydia. | Lire aussi : Éleveur de champions de la French Tech, le fonds Partech triple sa puissance de feu Plusieurs acteurs se sont plaints du manque de risques pris par les fonds français, de la lenteur des processus de décision par rapport aux grands fonds de venture capital (VC) anglo-saxons.
« Nous réalisons plus de 10 millions d'euros de chiffre d'affaires, nous avons levé 11 millions l'an dernier et la question est : comment aller plus loin ? Il n'y a pas d'outils pour que ces startups grandissent. Nous sommes une forêt de bonzaïs, alors qu'il faudrait une forêt de chênes ! » a lancé Lionel Baraban, le cofondateur et directeur général de Famoco, spécialiste des technologies de paiement sans contact. « Nous avons besoin d'une consolidation du marché. » . Paul-François Fournier, le directeur exécutif Innovation de Bpifrance, a toutefois rappelé que « les fonds français ont doublé de taille en moyenne en quatre ans, passant de 80 à 160 millions d'euros. Mais il y a peut-être un problème spécifique à la Fintech » a-t-il avancé. La Fintech a représenté 16% des levées de fonds des startups françaises l'an dernier selon le baromètre d'In Extenso
(Deloitte), soit de l'ordre de 416 millions d'euros, la deuxième catégorie loin derrière celles de l'Internet (50%).
« Nous avons levé plus de 100 millions d'euros en tout auprès d'investisseurs français uniquement : il est donc possible de lever de gros montants en France », a témoigné Geoffroy Guigou, de Younited Credit, qui a pointé en revanche « un problème d'exit », de possibilité de sorties, du fait du manque de motivation des grands acteurs de la banque et de l'assurance à investir de gros tickets dans la Fintech ou l'Insurtech. « Les startups sont le Botox des grands groupes ! » a complété Lionel Baraban. Enfin, Pierre Noizat le cofondateur de Paymium, qui se présente comme « votre banque bitcoin », a exprimé ses doléances au sujet de la fiscalité des cryptomonnaies, « qui peut atteindre un taux de 66% d'imposition sur les plus-values, c'est totalement discriminatoire par rapport à d'autres pays », plaidant pour l'application de la "flat-tax" à 30%. Il a proposé la reconnaissance de la signature électronique dans la Blockchain (la technologie de chaîne de blocs, sous-jacente des cryptomonnaies comme le bitcoin).
« Il y a un travail en cours à l'Assemblée, au Sénat, au Trésor sur la qualification des cybermonnaies. Il n'y a pas de doctrine française aujourd'hui. Essayons de nous montrer intelligents. Une mission vient d'être confiée et nous aurons ses conclusions dans quelques semaines », a temporisé le secrétaire d'Etat. Le directeur général de Paymium a alors relevé que confier cette mission à un ancien de la Banque de France (Jean-Pierre Landau), « c'est comme nommer quelqu'un de Total au ministère de l'Environnement. »
Discussions à bâtons rompus et sans tabou ce mardi entre Mounir Mahjoubi, le secrétaire d'Etat au Numérique, et les nouveaux acteurs de la finance, réunis chez Bpifrance.
DATE-CHARGEMENT: 24 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
115 of 500 DOCUMENTS
La Tribune
Mercredi 24 Janvier 2018
Les startups de la Fintech expriment leurs doléances sur la réglementation et les levées de fonds
AUTEUR: Delphine Cuny
RUBRIQUE: FOCUS; Pg. 9
LONGUEUR: 1466 mots
ENCART: Le secrétaire d Etat au Numérique Mounir Mahjoubi a rencontré des fondateurs et dirigeants de startups de la finance comme Younited Credit, Lydia, Alan et Famoco, pour recueillir les points de blocage. Les acteurs de la Fintech ont exprimé leur frustration à l égard de la réglementation, trop contraignante et vieillotte, et leurs difficultés à lever plus de 10 millions auprès de fonds français.
Comment faire grandir les startups de la finance en France ? Le secrétaire d'Etat au Numérique Mounir Mahjoubi, est allé à la rencontre des fondateurs et dirigeants de Fintech ce mardi, dans le cadre de sa tournée dans toute la France auprès des différentes composantes de la French Tech. Devant un café et des croissants au dernier étage des locaux parisiens de Bpifrance, les plus ou moins jeunes loups qui veulent faire « sauter la banque » (ou l'assurance pour l'Insurtech) n'ont pas joué les timides quand le ministre les a interrogés sur leurs « irritants », selon le jargon marketing du milieu, les obstacles à leur développement et leurs frustrations au quotidien. Deux points ressortent nettement : la réglementation, jugée trop contraignante et vieillotte, et les difficultés à mener des tours de table importants avec des fonds de capital-risque français. Des propositions seront présentées à l'issue de ce "Tour des startups" sous trois mois.
« La priorité que nous nous sommes donnés pour la Fintech est de consacrer la moitié du temps à identifier les entreprises qui ont besoin de grandir, les « scale-up » [startups en phase d'hypercroissance et d'expansion internationale, en voie de « passer à l'échelle » ndlr] et l'autre moitié du temps à l'écosystème et à son animation territoriale. Nous voulons aussi y promouvoir la mixité et la diversité, qui sont de vrais enjeux »
a insisté le secrétaire d'Etat, devant un parterre à 90% masculin. Réglementation « trop datée » La réglementation, le fardeau dont se plaignent les acteurs traditionnels de la banque et de la finance, apparaît comme la prise de tête numéro un des Fintech aussi, pour leur mise en conformité. Manque de dialogue constructif, demandes surdimensionnées, réponses trop lentes, voire vision archaïque, les propos étaient plutôt acerbes.
« Si la France veut être une Fintech nation et une Insurtech nation, il faut que les régulateurs arrêtent de donner de petits agréments comme celui d'établissement de paiement, mais de vrais agréments, comme en Allemagne : nous avons obtenu le premier agrément d'établissement de crédit en 15 ans et Alan le premier dans l'assurance depuis trente ans ! » a argumenté Geoffroy Guigou, le cofondateur de la plateforme de crédit conso aux particuliers Younited Credit. « En termes de fonds propres, il y a une règle non écrite, une doctrine connue de tous qui consiste à avoir un établissement de crédit au capital, détenant au moins 10% ou 20%. Il faut donner plus d'agréments sans condition de consanguinité. » Geoffroy Guigou a aussi milité pour que les organismes de place (à l'image de Paris Europlace) s'ouvrent davantage à la relève et ne soient « pas seulement des maisons de retraite pour banquiers ou assureurs, car beaucoup de choses passent par ces organismes. » Pour ces entreprises misant à 100% sur le numérique, le maintien de certaines règles semble inadapté :
« En France, on ne lutte pas vraiment contre la fraude, on fait juste de la conformité. On refuse l'authentification vidéo, alors que la Bafin [le régulateur financier allemand, ndlr] l'a acceptée. On doit demander une carte d'identité et un justificatif de domicile, partout en Europe, pendant que l'allemand N26 fait de la vidéo, y compris en France. Je préférerais faire de la biométrique. On est au Moyen-Age du KYC [know your customer, connaissance du client]. Ce sont des freins à la compétitivité », a regretté Cyril Chiche, le président de l'appli de paiement Lydia. Arnaud Burgot, le directeur général de la plateforme de financement participatif Ulule, a évoqué un tracas connexe :
« Le problème de la fraude documentaire : on demande une carte d'identité, c'est complètement daté ! C'est très facile de photoshopper une carte d'identité et on peut s'en procurer facilement sur le darknet. Il faut pouvoir lutter vraiment contre le vol d'identité » a-t-il plaidé.
Bac à sable réglementaire et opportunités du RGPD Le dirigeant d'Ulule s'est plaint du poids de la lutte contre la fraude pour une jeune pousse comme la sienne : « Les cagnottes en ligne sont dans le viseur de Tracfin, ce qui nous a obligés à devenir établissement de monnaie électronique. Il y a un sujet de surtransposition des obligations avec de nouveaux seuils qui se traduisent par plus de temps administratif sans gain réel dans la lutte contre le blanchiment », a-t-il estimé.
« On avance sur ces sujets. On fera de l'authentification forte partout dans trois ou quatre ans, mais certains me répondront peut-être que d'ici là, vous risquez d'être morts ! », a réagi le secrétaire d'Etat. Il s'est déclaré favorable à un « bac à sable » réglementaire (la « sandbox » à l'anglaise), où les jeunes pousses peuvent expérimenter sans contrainte jusqu'à un certain seuil d'activité.
« On contrôle mieux le risque dans un environnement de type "sandbox" », a fait valoir Mounir Mahjoubi. Il a également objecté à ceux qui s'en plaignaient que l'entrée en vigueur en mai dans l'UE du Règlement général sur la protection des données (RGPD) était une avancée.
« Le RGPD, c'est une révolution et des milliards d'euros d'opportunité pour des entreprises européennes qui sauront valoriser les métadonnées et permettre aux utilisateurs de récupérer leur patrimoine de données », a relevé Mounir Mahjoubi.
Une forêt de bonzaïs L'autre sujet de débat portait sur la capacité à monter en puissance des startups de la finance française, qui restent de taille modeste par rapport aux britanniques, comme TransferWise ou Funding Circle, aux suédoises comme Klarna ou iZettle, aux allemandes comme Kreditech ou néerlandaises comme Adyen. Une seule française apparaît dans les 50 premières du classement mondial Fintech 100 de KPMG : le site de prêts aux PME Lendix.
« Il y a un gros problème de financement. Toutes les levées de fonds de plus de 10 millions d'euros doivent passer par un fonds étranger, américain ou autre. Nous avons un beau terreau de seed (amorçage), on est très bon en ingénierie financière, LBO, dette mezzanine, mais il n'y a que deux acteurs pour les levées de 10 à 100 millions, Idinvest et Partech » a déploré Cyril Chiche, de Lydia. | Lire aussi : Éleveur de champions de la French Tech, le fonds Partech triple sa puissance de feu Plusieurs acteurs se sont plaints du manque de risques pris par les fonds de capital-risque français, de la lenteur des processus de décision par rapport aux grands fonds anglo-saxons.
« Nous réalisons 10 millions d'euros de chiffre d'affaires, nous avons levé 11 millions et la question est : comment aller plus loin ? Il n'y a pas d'outils pour que ces startups grandissent. Nous sommes une forêt de bonzaïs, alors qu'il faudrait une forêt de chênes ! » a lancé le cofondateur et directeur général de Famoco, spécialiste des technologies de paiement sans contact, Lionel Baraban. « Nous avons besoin d'une consolidation du marché. » . Paul-François Fournier, le directeur exécutif Innovation de Bpifrance, a toutefois rappelé que « les fonds français ont doublé de taille en moyenne en quatre ans, passant de 80 à 160 millions d'euros. Mais il y a peut-être un problème spécifique à la Fintech » a-t-il avancé.
« Nous avons levé plus de 100 millions d'euros en tout auprès d'investisseurs français uniquement : il est donc possible de lever de gros montants en France », a témoigné Geoffroy Guigou, de Younited Credit, qui a pointé en revanche « un problème d'exit », de possibilité de sorties, du fait du manque de motivation des grands acteurs de la banque et de l'assurance à investir de gros tickets dans la Fintech ou l'Insurtech. « Les startups sont le Botox des grands groupes ! » a complété Lionel Baraban. Enfin, Pierre Noizat le cofondateur de Paymium, qui se présente comme « votre banque bitcoin », a exprimé ses doléances au sujet de la fiscalité des cryptomonnaies, « qui peut atteindre 66% d'imposition sur les plus-values, c'est totalement discriminatoire par rapport à d'autres pays », plaidant pour l'application de la flat-tax à 30%, et proposé la reconnaissance de la signature électronique dans la Blockchain (la technologie de chaîne de blocs, sous-jacente des cryptomonnaies comme le bitcoin).
« Il y a un travail en cours à l'Assemblée, au Sénat, au Trésor sur la qualification des cybermonnaies. Il n'y a pas de doctrine française aujourd'hui. Essayons de nous montrer intelligents. Une mission vient d'être confiée et nous aurons ses conclusions dans quelques semaines », a temporisé le secrétaire d'Etat. Le directeur général de Paymium a alors relevé que confier cette mission à un ancien de la banque de France (Jean-Pierre Landau), « c'est comme nommer quelqu'un de Total au ministère de l'Environnement. »
Discussions à bâtons rompus ce mardi entre Mounir Mahjoubi, le secrétaire d'Etat au Numérique, et les nouveaux acteurs de la finance, réunis chez Bpifrance.
DATE-CHARGEMENT: 23 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
116 of 500 DOCUMENTS
La Tribune - Objectif Languedoc Roussillon
Mercredi 24 Janvier 2018
Callimedia cible les PME-PMI avec sa plate-forme UPility
AUTEUR: Valentine Ducrot
RUBRIQUE: INNOVATION; INNOVATION TECHNOLOGIQUE
LONGUEUR: 572 mots
ENCART: Expert en solutions e-learning depuis 2000, le Montpelliérain Callimedia poursuit son développement et ambitionne de faire de sa nouvelle plate-forme UPility une référence du blended learning d ici 2020.
L'année 2017 aura été chargée pour l'éditeur de plate-forme LMS (Learning Management System) et producteur de contenus basé à Castelnau-le-Lez (34). Après un premier semestre marqué par l'acquisition de grands comptes (une vingtaine de nouvelles références dont La Caisse d'Épargne, Celio...) et le lancement d'UPility, plate-forme e-learning nouvelle génération, Callimedia annonçait la création, en octobre dernier, de la market place UPility University.
"Ce portail innovant permet d'accéder à des contenus de formations prêts à l'emploi"
explique Christophe Fabre, Directeur général de Callimedia. 20 nouveaux modules e-learning À l'occasion du salon Learning Technologies France qui se tenait pendant deux jours (22 et 23 janvier 2018) à l'espace Champerret à Paris, Callimedia a présenté
son nouveau module de formation "sensibilisation au RGPD - Règlement général sur la protection des données", rédigé par Julien Le Clainche, avocat expert en droit des données personnelles.
"Cette thématique, précise Christophe Fabre, est plébiscitée par les entreprises car, à compter du 25 mai 2018, elles devront toutes initier des procédures permettant de démontrer le respect des règles relatives à la protection des données." Sécurité informatique, loi contre le blanchiment, contrôle URSSAF... Une vingtaine de nouveaux modules (coût de fabrication estimé pour chacun : entre 20 et 25 000EUR) devraient voir le jour d'ici la fin de l'année 2018. De nouvelles parts de marché Partant du constat que seulement 10 % des entreprises utilisent les nouvelles technologies d'apprentissage pour former leurs salariés, Callimedia entend désormais cibler aussi bien les PME que les groupes internationaux via sa nouvelle plate-forme et ses modules transverses génériques. Conçues avec des ingénieurs pédagogiques, ses formations "cross platform", conviviales et faciles d'utilisation, sont tournées vers l'expérience utilisateur.
« Jusqu'à présent notre plateforme était plutôt dédiée aux grands comptes, le marché n'étant pas encore mature - trop cher et peu adapté - pour capter les PME/PMI, analyse le DG. Aujourd'hui, grâce à notre expertise, nous sommes dans la capacité d'offrir à toutes les entreprises la possibilité d'accéder au déploiement de notre stratégie. Notre ambition est de devenir rapidement un acteur majeur auprès de ces PME/PMI. » Avec un prix d'entrée à 2 900 EUR auquel s'ajoute 1,90 EUR de coût par utilisateur, Callimedia intègre dans son portefeuille de nouveaux clients (Anticip, GFP...) tout en poursuivant sa politique de fidélisation de ses clients historiques. Ainsi plusieurs groupes (Club Med, Banque Postale) se sont réengagés dans de nouvelles sessions de formations. Recrutement de cinq collaborateurs Pour soutenir le développement de son activité, la société héraultaise a ouvert des bureaux commerciaux à Paris XVe. D'ici le premier semestre, elle prévoit de recruter trois commerciaux, un chef de projet et un directeur de production, portant ainsi à 40 le nombre de ses collaborateurs. En 2017, Calliemedia a réalisé un chiffre d'affaires de 3 MEUR. Pour l'année 2018, l'entreprise entend conforter sa position de leader sur le contenu (70 % de son CA) tout en prenant des parts de marché avec sa nouvelle plate-forme qui génère actuellement 30 % du CA.
« L'objectif est d'arriver en 2018 à l'équilibre et de faire d'UPility une référence dans le domaine de la formation à distance », conclut Christophe Fabre.
DATE-CHARGEMENT: 24 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBLA
Copyright 2018 La Tribune
Tous droits réservés
117 of 500 DOCUMENTS
Le Figaro
Mercredi 24 Janvier 2018
« La Cnil manque de moyens pour remplir ses missions »;
Pour les 40 ans de la Commission informatique et libertés, sa présidente regrette de ne pouvoir recruter davantage.
AUTEUR: Vergara, Ingrid, Ronfaut, Lucie, Braun, Elisa
RUBRIQUE: TECH; Pg. 25 N° 22846
LONGUEUR: 550 words
DONNÉES PERSONNELLES
La Cnil vit la plus grande mue de son histoire. Alors qu'elle célèbre ce mois-ci les 40 ans de sa création - à l'époque dans le but de protéger les libertés individuelles des citoyens contre des fichiers d'État -, la Commission nationale de l'informatique et des libertés se prépare cette année à l'entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD). À partir de mai prochain, ce texte majeur va contraindre davantage les entreprises sur le traitement et la sécurité des données des citoyens européens en ligne et ce, quelle que soit la nationalité de la société. Pour la Cnil, l'arrivée du RGPD change à la fois son périmètre d'action et la nature de ses nouvelles missions.
« Le RGPD devient notre cadre juridique quotidien, c'est notre outil d'action de tous les jours et toute la Cnil est marquée. Nous devenons une autorité de réseaux, et plus seulement une autorité nationale, qui opère sur son seul territoire. Nous allons être amenés à coopérer beaucoup plus avec nos homologues européens. Nous devons intégrer cette dimension dans notre organisation », explique la présidente de la Cnil, Isabelle Falque-Pierrotin, dans un entretien au Figaro. Le règlement accroît considérablement son pouvoir de sanction puisque les entreprises qui ne s'y conformeront pas pourront se voir infliger des amendes à hauteur de 4 % de leur chiffre d'affaires. D'où l'inquiétude de nombre d'entre elles.
Deux créations de postes
La Cnil doit donc s'organiser pour les accompagner, analyser avec eux leurs besoins en termes d'usage des données et les aider à répondre aux exigences de cette nouvelle législation. « Nous sommes en train de développer des outils concrets à destination des acteurs comme les PMI et PME, qui sont souvent le parent pauvre dans les actions de conformité. Nous allons aussi nous allier à la Banque publique d'investissement (BPI) pour sortir en mars un kit d'accompagnement RGPD », détaille Isabelle Falque-Pierrotin. La Cnil est par ailleurs déjà en discussion avec une trentaine de grands groupes qui l'ont désignée comme leur autorité de référence, en cas de litiges.
Mais la Cnil n'a pas les moyens de ses nouvelles ambitions. « Nous manquons de moyens, assène Isabelle Falque-Pierrotin. Nous n'avons pas suffisamment de ressources pour mener cette stratégie d'accompagnement qui va être déterminante dans les prochaines années. Nous avons eu deux créations de postes dans le budget 2018. C'est beaucoup moins que ce que nous avions demandé à l'État, d'où cette nécessité de nous redéployer en interne », poursuit-elle. Avec un effectif de 200 personnes et un budget de 17 millions d'euros en 2017, la Cnil est loin derrière certaines de ses homologues européennes. Le Royaume-Uni ou l'Allemagne, qui peuvent déjà compter sur 600 personnes, continuent d'ajuster leurs effectifs de façon importante.
En Irlande, l'Irish Data Protection Commissionner (DPC) doit recruter 40 personnes d'ici à la fin de l'année après avoir obtenu 35 postes et 4 millions d'euros supplémentaires en 2017. « Nous disions aux pouvoirs publics français qu'il était important de nous accompagner à l'image de ces autorités. Nous n'avons été que partiellement entendus. Cela ne va pas nous empêcher de demander de nouveaux postes l'année prochaine. »
DATE-CHARGEMENT: 23 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous droits réservés
118 of 500 DOCUMENTS
Le Figaro Économie
Mercredi 24 Janvier 2018
« La Cnil manque de moyens pour remplir ses missions »
AUTEUR: Vergara, Ingrid, Ronfaut, Lucie, Braun, Elisa
RUBRIQUE: TECH; Pg. 25 N° 22846
LONGUEUR: 550 mots
DONNÉES PERSONNELLES La Cnil vit la plus grande mue de son histoire. Alors qu'elle célèbre ce mois-ci les 40 ans de sa création - à l'époque dans le but de protéger les libertés individuelles des citoyens contre des fichiers d'État -, la Commission nationale de l'informatique et des libertés se prépare cette année à l'entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD). À partir de mai prochain, ce texte majeur va contraindre davantage les entreprises sur le traitement et la sécurité des données des citoyens européens en ligne et ce, quelle que soit la nationalité de la société. Pour la Cnil, l'arrivée du RGPD change à la fois son périmètre d'action et la nature de ses nouvelles missions. « Le RGPD devient notre cadre juridique quotidien, c'est notre outil d'action de tous les jours et toute la Cnil est marquée. Nous devenons une autorité de réseaux, et plus seulement une autorité nationale, qui opère sur son seul territoire. Nous allons être amenés à coopérer beaucoup plus avec nos homologues européens.
Nous devons intégrer cette dimension dans notre organisation », explique la présidente de la Cnil, Isabelle Falque-Pierrotin, dans un entretien au Figaro. Le règlement accroît considérablement son pouvoir de sanction puisque les entreprises qui ne s'y conformeront pas pourront se voir infliger des amendes à hauteur de 4 % de leur chiffre d'affaires. D'où l'inquiétude de nombre d'entre elles.
Deux créations de postes
La Cnil doit donc s'organiser pour les accompagner, analyser avec eux leurs besoins en termes d'usage des données et les aider à répondre aux exigences de cette nouvelle législation. « Nous sommes en train de développer des outils concrets à destination des acteurs comme les PMI et PME, qui sont souvent le parent pauvre dans les actions de conformité. Nous allons aussi nous allier à la Banque publique d'investissement (BPI) pour sortir en mars un kit d'accompagnement RGPD », détaille Isabelle Falque-Pierrotin. La Cnil est par ailleurs déjà en discussion avec une trentaine de grands groupes qui l'ont désignée comme leur autorité de référence, en cas de litiges.Mais la Cnil n'a pas les moyens de ses nouvelles ambitions. « Nous manquons de moyens, assène Isabelle Falque-Pierrotin. Nous n'avons pas suffisamment de ressources pour mener cette stratégie d'accompagnement qui va être déterminante dans les prochaines années. Nous avons eu deux créations de postes dans le budget 2018. C'est beaucoup moins que ce que nous avions demandé à l'État, d'où cette nécessité de nous redéployer en interne », poursuit-elle. Avec un effectif de 200 personnes et un budget de 17 millions d'euros en 2017, la Cnil est loin derrière certaines de ses homologues européennes. Le Royaume-Uni ou l'Allemagne, qui peuvent déjà compter sur 600 personnes, continuent d'ajuster leurs effectifs de façon importante. En Irlande, l'Irish Data Protection Commissionner (DPC) doit recruter 40 personnes d'ici à la fin de l'année après avoir obtenu 35 postes et 4 millions d'euros supplémentaires en 2017. « Nous disions aux pouvoirs publics français qu'il était important de nous accompagner à l'image de ces autorités. Nous n'avons été que partiellement entendus. Cela ne va pas nous empêcher de demander de nouveaux postes l'année prochaine. »
DATE-CHARGEMENT: 23 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous Droits Réservés
119 of 500 DOCUMENTS
Le Monde
23 janvier 2018 mardi
Un nouveau règlement contraignant
AUTEUR: M. U.
RUBRIQUE: SUPPLÉMENT; Pg. 3
LONGUEUR: 956 mots
ENCART: A partir du 25 mai, toutes les entreprises qui utilisent des fichiers de consommateurs devront avoir obtenu leur consentement, sous peine d'une très lourde amende
Al'issue d'un intense lobbying, le 27 avril 2016, l'Union européenne a adopté le règlement général sur la protection des données (RGPD). Remplaçant une directive de 1995, qui avait été -diversement interprétée dans chaque pays européen, ce texte ambitieux définira, à partir du 25 mai prochain, des règles uniques concernant les données personnelles de plus d'un -demi-milliard d'habitants.
Beaucoup voient dans ce règlement une révolution. Pourtant, l'esprit du texte demeure : les entreprises qui désireront utiliser les données personnelles des citoyens européens devront obtenir leur consentement et être claires sur leur utilisation. Chacun disposera, comme auparavant, du droit de refuser que ses données soient utilisées. " Le sujet des données personnelles est vieux de quarante ans. Ce règlement marque la troisième évolution du cadre légal et les principes ne changent pas vraiment ", estime Paul-Olivier Gibert, président de l'Association française des correspondants à la protection des données à caractère personnel, qui -regroupe les experts en la matière de plus de 600 entreprises et organisations.
A court terme, ce règlement ne bouleversera pas la manière dont les Européens utilisent -Internet, bien qu'il apporte plusieurs nouveautés : les entreprises devront d'abord être plus transparentes vis-à-vis des consommateurs et internautes. Le règlement va les obliger à " communiquer dans un langage courant, compréhensible par tous ", précise Rubin Sfadj, avocat spécialisé. Ensuite, le RGPD va donner aux citoyens européens un droit à la " portabilité " de leurs données, c'est-à-dire que les entreprises devront permettre à leurs utilisateurs de récupérer leurs données personnelles afin qu'ils puissent les transférer à un autre service. Les usagers d'un service de courriel pourront ainsi télécharger leurs messages afin de pouvoir les utiliser dans un nouveau service de courriels.
Le règlement pérennise et renforce également les droits des citoyens en matière de suppression de leurs données. La possibilité de demander aux moteurs de recherche de retirer certains résultats comportant des informations personnelles, le " droit à l'oubli " reconnu par la justice européenne depuis 2014, sera désormais consolidée et actée dans la loi européenne. S'il demeurait une ambiguïté sur la zone où s'applique le droit européen, elle est levée : toute entreprise utilisant des données d'Européens, même si elle est basée hors de l'Union, devra respecter le RGPD. Autre changement pour les consommateurs et les internautes, l'obligation faite aux entreprises de les avertir au cas où leurs données personnelles seraient compromises par un piratage ou une faille de sécurité.
Fini la seule déclaration
En réalité, c'est pour les entreprises que le changement est le plus drastique. D'abord parce que, contrairement à une directive, qui doit être adaptée dans le droit français, le règlement s'appliquera directement, que les entreprises soient prêtes ou non, à partir du 25 mai. Ensuite, et c'est le coeur du nouveau règlement, tout manquement pourra être sanctionné par une très lourde amende : jusqu'à 4 % du chiffre d'affaires mondial ou 20 millions d'euros. Sans commune mesure avec les anciennes sanctions (jusqu'à 300 000 euros, puis 3 millions d'euros depuis fin 2016).
De quoi changer de dimension et propulser la question des données personnelles aux plus hauts niveaux décisionnaires. " Prenez une -entreprise à 100 millions d'euros de chiffre d'affaires : avec l'ancien régime, elle risquait une amende de 300 000 euros. C'est moins de 1 % du chiffre d'affaires : ce n'est pas agréable, mais c'est gérable. Passer à 4 %, ça peut être très compliqué. La législation sur les données personnelles aura la même importance que la législation sur la concurrence ", résume Paul-Olivier Gibert.
C'est donc sans surprise que, depuis des mois, une myriade de cabinets d'avocats et de sociétés de conseil en sécurité informatique se sont mis en ordre de bataille et arrosent les entreprises de multiples offres de " mise en conformité avec le RGPD ". Preuve de l'engouement commercial que suscite le RGPD, la CNIL a récemment mis en garde les entreprises contre une vague d'appels frauduleux leur promettant une miraculeuse " mise en conformité " avec le règlement, prélude à une escroquerie ou à une attaque informatique.
Ces charlatans exploitent l'appréhension des entreprises face à la taille de ce chantier. D'abord parce que toutes les entreprises sont concernées, dès lors qu'elles manipulent des données personnelles (fichier clients, prospects, fournisseurs...). Ensuite parce que le cadre légal précédent reposait essentiellement sur un régime de déclaration : les entreprises qui créaient un fichier se contentaient d'en informer la CNIL. Elles devront " interpréter et appliquer le règlement de la manière qui convient le mieux et expliquer cette interprétation " en cas de contrôle, explique Rubin Sfadj. Désormais, il leur faudra prouver qu'elles ont correctement récolté le consentement de l'individu, qu'elles ne stockent que le strict nécessaire en matière de données personnelles, qu'elles ont pris des précautions techniques pour les protéger des piratages, que ses sous-traitants obéissent aux mêmes exigences de protection des données...
A partir du 25 mai, les entreprises devront dans la plupart des cas prendre des mesures précises - études d'impact en matière de vie privée, audits de sécurité, registres des données, embauche d'un expert spécialisé - et plus largement changer en profondeur leur manière de gérer les données. Même si la CNIL rappelle que le couperet ne tombera pas sur les fautifs dès le 25 mai, il s'agit d'un chantier dont toutes les -entreprises n'ont pas encore pris la mesure.
DATE-CHARGEMENT: 22 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Monde Interactif
Tous Droits Réservés
120 of 500 DOCUMENTS
Le Monde
23 janvier 2018 mardi
" Le but n'est pas la sanction tous azimuts "
AUTEUR: Propos recueillis par Franck Johannès, et Martin Untersinger
RUBRIQUE: SUPPLÉMENT; Pg. 2
LONGUEUR: 1786 mots
ENCART: La CNIL préfère accompagner les entreprises dans leur mise en conformité avec la loi
Isabelle Falque-Pierrotin, conseillère d'Etat, est membre de la Commission nationale de l'informatique et des libertés (CNIL) depuis 2004 et sa présidente depuis 2011. Elle explique pourquoi, en matière de protection des données, seule l'union des pays d'Europe permet de faire face aux géants du numérique et donnera à la CNIL les moyens de relever efficacement les -défis de demain.
Petite structure de contrôle des fichiers d'Etat il y a quarante ans, la CNIL doit aujourd'hui composer avec une vie -quotidienne entièrement numérique...
Cela montre que le législateur de 1978 était bien inspiré, puisqu'il a mis en place une institution appuyée sur une procédure et des principes -assez simples, mais très robustes. Ces principes se sont coulés dans l'évolution des besoins, -l'Internet, la biométrie... Ils ont même inspiré d'autres législations dans des pays francophones ou en Amérique du Sud. La CNIL a été capable, à partir de ses principes fondateurs, de réinventer sans cesse son métier. En 1978, à notre création, nous étions un " réglementeur " de fichiers publics, nous sommes aujourd'hui un régulateur de la donnée : il s'agit de trouver un équilibre entre les différents usages de la donnée, la protection des droits des personnes, l'innovation, la -sécurité et les modèles économiques. Cette capacité à se réinventer en permanence est, je crois, l'une des caractéristiques de la commission.
Les Français vous semblent-ils sensibilisés aux problèmes du numérique ?
La maturation des usages et des comportements est évidente depuis quelques années, on le constate à la fois dans les sondages et dans les études : les gens sont très avides de vie numérique, mais ils expriment aussi avec crainte un besoin de maîtrise de leurs données. Ils paramètrent leurs profils Facebook, mettent en place des bloqueurs de publicité, complexifient leurs mots de passe... De tels comportements n'existaient pas ou peu il y a cinq ans, et les plus jeunes sont désormais parmi les plus avertis. Mais c'est insuffisant. Il y a encore trop d'inertie quant à l'impératif de protection des données personnelles.
Quelles sont vos relations avec les grandes plates-formes, Facebook ou Google ?
Au départ, elles étaient parfaitement indifférentes à notre égard. En 2014, la première sanction contre Google a souligné que le marché européen avait des exigences propres. Notre sanction financière, bornée par les textes, était très limitée - 150 000 euros -, mais elle a quand même été très importante en termes d'image, puisqu'elle a été publiée pendant quarante-huit heures sur la page d'accueil de Google.
Je crois qu'il faut être très pragmatique et -négocier en position de force, sujet par sujet. Ils viennent fournir des services chez nous, ils doivent respecter le cadre européen. La -relation est en voie de rééquilibrage : nous -travaillons très bien ensemble sur certains dossiers. Avec Google, par exemple, sur le droit à l'oubli, qui correspond à une demande sociale, nous sommes souvent d'accord, sauf sur la question de sa portée territoriale, qui sera tranchée par la Cour de justice de l'Union européenne.
Les sanctions ont-elles un réel impact ? On a parfois du mal à mesurer les résultats des procédures de la CNIL.
Il y a des suites, et des ajustements de pratiques, bien sûr. Les bandeaux sur les cookies par exemple n'existaient pas auparavant, les outils de paramétrage des comptes se sont développés ; la sécurité des mots de passe a été renforcée... Quant à la longueur des procédures, elle n'est pas surprenante. Les dossiers sont techniquement complexes et, même si la CNIL a une expertise très solide - c'est d'ailleurs pour cette raison qu'elle a été choisie en 2014 par le G29, le groupe des autorités de régulation européennes, pour être chef de file sur le dossier Google -, les contrôles nous entraînent au coeur du modèle économique et de l'architecture technique de ces acteurs. Et nous devons nous coordonner au sein du groupe de travail européen. Cela prend un peu de temps !
La prochaine étape sera le règlement général sur la protection des données, le RGPD, qui entrera en vigueur en mai. La situation sera grandement facilitée, car nous n'aurons plus une juxtaposition des sanctions française, allemande, italienne, mais une seule, prise au nom des 29. C'est un changement absolument majeur. Et la sanction pourra atteindre 4 % du chiffre d'affaires mondial de l'organisme sanctionné. Tout cela donnera une capacité d'influence à l'Europe bien supérieure à celle d'aujourd'hui.
Mais la CNIL ne pourra-t-elle jamais -sanctionner toutes les dérives ?
Les policiers non plus ne punissent pas tous les voleurs de pomme. Le but de la CNIL n'est pas de sanctionner tous azimuts, mais de faire en sorte que le cadre juridique soit respecté. La sanction est pour nous une arme de dissuasion. Nous en prononçons une quinzaine par an, ce n'est pas avec ce seul outil que nous allons régler tous les problèmes. Comment réguler un univers aussi émietté que le numérique ? Non pas en sanctionnant tout le monde, mais en faisant en sorte que les différents acteurs -intègrent ces principes " informatique et libertés ", grâce aux outils du régulateur.
Notre approche consiste à élaborer avec les industries (la banque, l'assurance, les compteurs communicants...) des référentiels par secteur : nous partons de leurs besoins en termes d'usage des données, et nous examinons avec eux comment apporter une réponse " informatique et libertés ". Ces " packs de conformité ", des codes de conduite, permettent de décliner les principes d'une façon fine, ce qu'évidemment ne peut pas faire la loi. C'est d'ailleurs la logique du nouveau règlement européen.
On a le sentiment que les entreprises -découvrent aujourd'hui, avec le RGPD, qu'existe déjà un cadre juridique qui devrait s'appliquer...
Vous avez raison, il y a un effet de rattrapage avec le RGPD, qui explique une partie des craintes des uns et des autres. Bon nombre d'entreprises n'ont pas suffisamment pris au sérieux la problématique des données. Le RGPD, à travers son niveau de sanction, fait -remonter la protection des données à un -niveau stratégique. Les entreprises prennent conscience de ce qu'elles ne font déjà pas -depuis quarante ans... Nous en prenons acte, et nous nous organisons pour les accompagner dans cet effort de rattrapage. La situation est surtout délicate pour les petites structures. Nous allons leur proposer en mars un " kit " opérationnel, facile à utiliser, pour se mettre en conformité. Le défi est de taille, mais je suis convaincue que l'investissement sera rentable pour les entreprises, car il répond aux attentes des consommateurs en termes de confiance et de garantie dans le numérique.
La CNIL a-t-elle les moyens de remplir ses missions ?
Face à une hausse continue des sollicitations, la commission consent depuis plusieurs années un effort de productivité considérable. Mais nous arrivons maintenant à un point de rupture. Il y a aujourd'hui 200 personnes à la CNIL, avec un budget de 17 millions d'euros. Nos homologues allemands sont 600, ils sont autant en Angleterre, les Polonais sont 150, et l'Irlande a considérablement renforcé ses effectifs en 2017.
En France, nous devrions évidemment avoir des ressources plus importantes, notamment au début du RGPD : les entreprises qui doivent apprivoiser ce nouveau cadre juridique attendent de la disponibilité de la part du régulateur. Par ailleurs, les grands groupes internationaux vont devoir choisir où se situe leur établissement principal en Europe, et cela déterminera leur autorité de régulation : il est donc très -important que la France soit présente pour faire valoir nos services d'accompagnement. Il ne faut pas manquer ce rendez-vous.
Avez-vous le sentiment que la CNIL est -entendue par l'Etat ?
La CNIL, par construction, est un contre-pouvoir. Elle donne des avis, mais elle n'est pas toujours entendue... Ce qui ne signifie pas que ses avis sont inutiles. Par exemple, sur la loi Renseignement de 2015, qui a cristallisé nombre des oppositions dans la sphère publique, nous avons dit que la manière de présenter le sujet n'était pas la bonne : l'opposition binaire entre sécurité et liberté est une manière un peu stérile de poser le débat. Les besoins de sécurité étant inépuisables, on en arriverait, inéluctablement, à avoir des caméras vidéo surveillant tout le monde, des drones aux fenêtres...
Si l'on veut rester dans un Etat de droit, il faut raisonner avec un troisième élément : les -garanties. Si les besoins de sécurité conduisent à mettre en place des moyens nouveaux pour les services de renseignement, il faut dans le même temps mettre en place de nouvelles -garanties au bénéfice des personnes. Il faut par exemple une clause de révision à cette loi -Renseignement, que les boîtes noires soient -limitées à certaines finalités, que les gens qui ont accès à ces données soient strictement -encadrés. La CNIL a ainsi proposé une série de mesures visant à desserrer le filet de la surveillance de masse, et cet apport a été extrêmement utile. Après, il y a une responsabilité politique du législateur.
Estimez-vous aujourd'hui qu'un équilibre a été trouvé ?
Je pense en tout cas qu'un gros progrès a été fait. Si la loi est satisfaisante sur le contrôle en amont de la collecte des données par les services de renseignement, elle l'est beaucoup moins sur le contrôle en aval de ces fichiers, qui échappent à tout contrôle extérieur. C'est pour cela que nous avions demandé à être chargés de ce contrôle. Nous n'avons pas été entendus. Peut-être la loi CNIL 2, présentée en conseil des ministres le 13 décembre et qui intègre le nouveau règlement européen dans le droit français, permettra-t-elle de rouvrir ce débat.
Vous êtes satisfaite de cette loi CNIL 2 ?
Notre objectif principal, c'est que cette loi soit votée dans le délai imparti, au plus tard le 25 mai prochain. Ça paraît un peu prosaïque, mais c'est absolument fondamental parce que, si par hasard nous étions en retard, nous bloquerions toute la procédure répressive européenne. Ce n'est pas une loi de transposition, c'est une loi qui conditionne la possibilité pour la CNIL de participer à une sanction européenne commune.
Comment envisagez-vous les prochaines -années ?
Le défi, c'est, je pense, l'Internet ambiant, les objets connectés, la capacité de traiter toutes les données qui sortent de cet environnement, par le biais de l'intelligence artificielle. Le défi, c'est le cadre qu'on met en place pour ces intelligences artificielles. Nous avons proposé un certain nombre de principes, qui nous paraissent assez fondateurs et que j'aimerais porter au niveau mondial : le principe de loyauté et le principe de vigilance, ou de questionnement régulier. Cela me paraît être un sujet majeur.
DATE-CHARGEMENT: 22 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Le Monde Interactif
Tous Droits Réservés
121 of 500 DOCUMENTS
Les Echos.fr
mardi 23 janvier 2018
Cybercriminalité : nette augmentation des attaques en France en 2017
AUTEUR: Paul Boulben
RUBRIQUE: ARTICLE; Risque plus important pour les personnes multiconnectées
LONGUEUR: 628 mots
ENCART: 42 % des internautes français ont été victimes d'un comportement cybercriminel l'an passé, selon un rapport Norton by Symantec.
Alors que le Forum international de la cybersécurité (FIC) s'ouvre ce mardi à Lille, le rapport Norton by Symantec sur les cyber-risques pointe le besoin grandissant d'améliorer la sécurité des internautes.
Dévoilé ce mardi, ce rapport réalisé tous les ans montre une augmentation des internautes concernés par les actions d'un cybercriminel l'an dernier : plus de 19 millions de Français, c'est-à-dire 42 % de la population française connectée, contre moins de 14 millions en 2016. Au total, le préjudice s'évaluerait à 6,1 milliards d'euros en 2017, contre 1,8 milliard en 2016.
Risque plus important pour les personnes multiconnectées
Selon le rapport, les personnes les plus susceptibles d'être touchées sont des personnes connectées sur de multiples appareils, avec souvent le même mot de passe sur tous leurs comptes.
Le « ransomware » est le type de cybercrime le plus fréquent en 2017. 45 % des personnes victimes de cyberattaques l'ont été par le ransomware, ce logiciel qui demande une rançon pour pouvoir débloquer l'accès à l'ordinateur et à ses données, après avoir cliqué sur un lien de « phishing » ou répondu à un faux e-mail. C'est toutefois une des cyberattaques les moins coûteuses en moyenne (106 euros), la plus onéreuse étant la fraude par carte bancaire, qui coûte en moyenne 1.212 euros à ses victimes.
Les entreprises extrêmement exposées
Concernant les entreprises, le Club des experts de la sécurité de l'information et du numérique, le Cesin, a interrogé pour son baromètre annuel les responsables de la sécurité informatique de 143 grandes entreprises ou ministères français. 92 % d'entre eux ont connu une ou plusieurs cyberattaques dans l'année, contre 80 % en 2016. Le baromètre relève des conséquences importantes sur l'activité de l'entreprise : indisponibilité du site, arrêt de la production et donc impact négatif sur le chiffre d'affaires etc.
Pour limiter les risques liés aux attaques, 64 % des entreprises envisagent d'augmenter leur budget cybersécurité et 40 % d'entre elles ont souscrit à une cyberassurance en 2017, une progression de 14 points par rapport à 2016.
Nouveaux risques à anticiper
L'année 2017 a été marquée par les cyberattaques d'ampleur mondiale, avec notamment le ransomware Wannacry, qui a paralysé le système de santé britannique et de grosses entreprises européennes, ou encore le logiciel « effaceur de données » NotPetya, venu d'Ukraine.
Cybersécurité : quelles réponses face aux nouvelles menaces ?
Avec le développement des objets connectés ou de la migration des entreprises vers le cloud, de nouvelles stratégies de sécurité sont indispensables. « On sait qu'on va se faire attaquer, explique à l'AFP Laurent Heslault, directeur des stratégies de sécurité chez Symantec, maintenant, on est passé à la gestion des risques cyber : comment limiter les possibilités de se faire attaquer, sonner l'alarme, compartimenter. On doit devenir cyber-résilients. »
Les entreprises vont devoir aussi se mettre en conformité avec le droit européen, et notamment le règlement général sur la protection des données personnelles (RGPD). 94 % des responsables de la sécurité des systèmes informatiques (RSSI) estiment que la mise en conformité représente un coût supplémentaire non négligeable pour les entreprises, mais seulement 39 % d'entre eux estiment que la fonction de « data protection officer » (DPO) est compatible avec leur fonction actuelle, selon le baromètre du Cesin. Le RGPD entrera en vigueur le 25 mai prochain.
Contributor:
Voir aussi:
[29/06/2017] WannaCry, Petrwrap : pourquoi l'histoire se répète
Voir aussi:
[19/10/2017] « Le cyber est un 'méta-risque' qui touche tous les métiers de l'entreprise »
Voir aussi:
[25/10/2017] Mais où va nous emmener le cyber-protectionnisme ?
DATE-CHARGEMENT: 24 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Groupe Les Echos
tous droits réservés
122 of 500 DOCUMENTS
Le Figaro Online
lundi 22 janvier 2018 07:41 PM GMT
Isabelle Falque-Pierrotin : «La Cnil manque de moyens face à ses nouvelles missions»
AUTEUR: Lucie Ronfaut; lronfaut@lefigaro.fr; Elisa Braun; ebraun@lefigaro.fr; Ingrid Vergara; ivergara@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 1567 mots
ENCART: INTERVIEW - À l'occasion du quarantième anniversaire de la Cnil, sa présidente Isabelle Falque-Pierrotin revient pour le Figaro sur l'histoire et les grands défis d'avenir pour le régulateur français des données personnelles.
La Commission Informatique et Liberté fête son anniversaire, mais n'a pas le temps de souffler ses bougies. Le régulateur français des données personnelles, plus connu sous le nom de «Cnil», est né en 1978, à la suite de révélations par le journal Le Monde d'un projet gouvernemental visant à ficher les Français. Aujourd'hui, la Cnil assume de nombreuses missions, au gré de l'évolution des nouvelles technologies et de l'exploitation des données personnelles. En 2018, l'application du règlement européen sur la protection des données personnelles (RGPD) devrait bouleverser l'institution, et peut-être la rendre plus puissante que jamais. Sa présidente, Isabelle Falque-Pierrotin détaille les grands enjeux de demain pour le Figaro.
LE FIGARO. - La Cnil est née avec la loi du 6 janvier 1978. 40 ans plus tard, quel regard portez-vous sur son évolution et son bilan?
Isabelle FALQUE-PIERROTIN. - En quarante ans, la Cnil a été toujours la même et toujours une autre. En 1978, nous nous sommes constitués principalement pour protéger l'individu du grand fichier public Safari [un projet de croisement de fichiers administratifs, NDLR]. Au fur et à mesure, la Cnil est devenue un régulateur des données, désormais utilisées par des grands acteurs privés comme publics. Notre métier a évolué, notre environnement a changé. L'arrivée d'Internet, de la biométrie, de la surveillance de masse, du big data, de l'intelligence artificielle ... Nous nous sommes réinventés pour nous adapter, tout en restant articulés par rapport à des principes qui sont restés inchangés comme la finalité ou la proportionnalité. Nous en sommes fiers.
Pensez-vous que les Français savent aujourd'hui ce qu'est la Cnil et comprennent bien votre utilité?
Nous avons un taux de notoriété remarquable. La Cnil est identifiée comme un acteur de confiance qui a une légitimité nationale et internationale. Le droit à l'oubli, au déréférencement a pris de l'importance. Les individus veulent s'emparer de leur vie numérique et la gérer comme ils le souhaitent. Ils expriment un sentiment de malaise par rapport à une perte de maîtrise des technologies, et la volonté de la récupérer. Au cours des cinq dernières années, les plaintes ont augmenté. On en reçoit à peu près 8000 par an. La Cnil est identifiée comme un lieu de conseil, d'outil de vigilance. Nous recevons aussi beaucoup de plaintes autour de l'entreprise et des outils de contrôle des salariés. C'est un sujet sensible, sur lequel les employés demandent des garanties.
Pensez-vous être plus puissante aujourd'hui?
La Cnil est une communauté parmi les plus puissantes en Europe. Nous avons longtemps souffert de notre niveau de sanction. Notre première grande sanction, celle de Google en 2014, c'était 150.000 euros! Le règlement européen sur les données personnelles (RGPD) va nous permettre de sanctionner à hauteur de 4% du chiffre d'affaires mondial d'une société. C'est un bon niveau. Nous sommes un régulateur complet. Nous sommes présents sur tous les outils: la pédagogie, l'accompagnement et la sanction. Ce n'était pas le cas de tous les régulateurs européens.
L'avis de la Cnil n'a pourtant pas été écouté lors de l'élargissement du fichier TES, qui a finalement permis la constitution d'un grand fichier public de données biométriques...
La Cnil est un contre-pouvoir. Elle donne des avis, qui peuvent être écoutés ou non mais qui sont, je pense, toujours utiles. Dans le cas du fichier TES, nous avons été les premiers à demander un débat parlementaire. Nous avons mis ce sujet à l'agenda des députés. Sur la loi renseignement, nous avons travaillé avec le gouvernement autour de garanties. Nous avons demandé la clause de révision du texte, à ce que les boîtes noires soient réservées à certaines finalités, la lutte contre le terrorisme ... Nous n'avons pas été écoutés sur tout mais nous avons aidé à ce que cette loi corresponde à un état de droit plus satisfaisant.
Quels sont vos grands défis pour l'avenir?
Nous entrons dans l'ère de l'Internet ambiant, à travers les capteurs, les outils qui traitent la donnée de manière de plus en sophistiquée, grâce à l'Intelligence artificielle (IA). L'individu doit rester en maîtrise. Nous devenons aussi une autorité de réseaux, et plus seulement une autorité nationale qui opère sur son territoire. Nous allons être amenés à coopérer beaucoup plus au niveau transnational. Nous devons intégrer cette dimension dans notre organisation.
Êtes-vous optimiste quant à l'application du Règlement sur la protection des données personnelles (RGPD), qui doit entrer en vigueur en Europe en mai 2018?
Nos publics, particuliers et professionnels, doivent s'approprier le RGPD et ne pas le voir comme une contrainte. Nous sommes convaincus que c'est une opportunité formidable pour l'Europe de remonter dans le train du numérique. Nous allons pouvoir se battre à armes égales avec nos compétiteurs internationaux. Avec le RGPD, nous serons désormais capables d'avoir un cadre juridique pour répondre aux attentes du marché de circulation des données et en même temps aux attentes des consommateurs. Si vous avez une entreprise à Palo Alto ou en Chine, dès lors qu'elle s'adresse aux consommateurs européens, le droit européen prime. Se préparer au RGPD c'est aussi faire comprendre aux acteurs européens qu'ils doivent s'emparer de ce cadre juridique qui doit les aider face à leurs concurrents internationaux.
Pour accompagner les entreprises françaises dans ce mouvement, nous sommes en train de développer des outils concrets à destination des acteurs comme les PMI et PME, qui sont souvent le parent pauvre dans les actions de conformité. Nous allons aussi s'allier à la banque publique d'investissements (BPI) pour sortir kit d'accompagnement RGPD puis proposer un accompagnement personnalisé par secteur en identifiant des têtes de réseaux, comme les associations professionnelles ou des syndicats.
Avez-vous les moyens de faire face à vos nouvelles missions?
Nous manquons de moyens. Nous n'avons pas suffisamment de ressources pour mener cette stratégie d'accompagnement qui va être déterminante dans les prochaines années. Un certain nombre d'entreprises ont localisé leur autorité de référence en France. C'est pour cette raison que nous avions dit aux pouvoirs publics qu'il était important de doter la Cnil de plus de moyens. Alors que nos homologues ajustent leurs ressources de façon extrêmement importante - y compris des Cnil déjà puissantes comme celle du Royaume-Uni ou de l'Allemagne avec des effectifs de 500 à 600 personnes - nous avons obtenu deux créations de postes dans le budget 2018, beaucoup moins que ce que nous avions demandé. D'où la nécessité de nous redéployer en interne. Cela ne va pas nous empêcher de demander de nouveaux postes l'année prochaine.
Mai 2018, c'est demain: les entreprises françaises seront-elles prêtes?
Les grandes entreprises ont pris la mesure du problème. La question des données personnelles est passée des comités juridiques aux comités exécutifs. Il s'agit maintenant d'un enjeu stratégique. Pour les PME/PMI, c'est difficile. Mais il ne faut pas non plus voir mai 2018 comme une sorte de couperet. C'est une courbe d'apprentissage que l'on va accompagner. Le régulateur est en position de sanctionner, mais ce n'est pas son seul rôle. La Cnil ne sanctionne pas tous les manquements à la loi informatique et libertés. Nous voulons plutôt accompagner, donner des outils. Le but du régulateur est de faire en sorte que la conformité soit la plus large possible. Il y aura, bien sûr, une hausse des sanctions, ne serait-ce que parce que nous aurons vocation à traiter les litiges transfrontaliers, c'est avant tout une arme de dissuasion. L'essentiel de nos fonctions doit être dirigé vers l'accompagnement et la conformité.
Pensez-vous que les grandes entreprises du Web craignent davantage le pouvoir de la Cnil aujourd'hui? Quelles sont vos relations avec ces entreprises?
Le RGPD est une nouvelle étape dans la discussion que nous avons avec ces grands acteurs internationaux. Depuis quelque temps, ils ont identifié l'Europe comme étant un marché spécifique, avec ses règles. Depuis quatre ans, nous les poussons à plus de transparence, à donner plus de garanties. Le RGPD renforce le consentement, la portabilité, le droit à l'oubli... C'est un rééquilibrage de la relation entre Européens et grands acteurs mondiaux. Mais il ne faut pas non plus présenter le RGPD comme une arme contre les géants du Web. Il s'agit plutôt d'une arme pour que l'Europe puisse avoir une souveraineté numérique réelle et effective, vis-à-vis de n'importe quel acteur international.
Est-ce compliqué de travailler avec vos 28 homologues européens?
Clairement! Même si nous avons un cadre juridique commun, il y a des intérêts économiques qui ne sont pas forcément convergents. Il ne faut pas être naïf, il y a des cultures et des sensibilités différentes. Pour avoir présidé le G29 [le groupe des Cnil européennes, NDLR] durant les quatre dernières années, je peux vous dire que cela demande beaucoup d'énergie et d'efforts de garder ce groupe uni. Le risque, c'était que chaque autorité détricote l'objectif d'harmonisation du règlement à travers des applications divergentes sur les sujets clés du texte. À ce G29 va succéder le nouveau groupe des autorités européennes de données, l'EDPB (European data protection board), qui a désormais un pouvoir contraignant de décision à 28.
DATE-CHARGEMENT: 22 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Figaro
Tous droits réservés
123 of 500 DOCUMENTS
Les Echos
lundi 22 janvier 2018
Assistants vocaux : votre vie sur écoute
AUTEUR: Rand Hindi
RUBRIQUE: IDEES; Pg. 13 N°. 22618
LONGUEUR: 723 mots
L'assistant vocal d'Amazon, Alexa, fait un carton. Le modèle d'entrée de gamme est même devenu le produit le plus vendu sur Amazon à Noël dernier, toutes catégories confondues ! Google investit lui aussi fortement dans ce secteur avec son Google Home, allant jusqu'à dépenser plus de 11 millions de dollars pour promouvoir son assistant vocal au dernier Consumer Electronics Show. Et ce n'est qu'une question de mois avant qu'Apple et Facebook ne lancent, à leur tour, leur propre enceinte vocale.
La stratégie des Gafa consiste à faire de leurs assistants vocaux des plates-formes, afin qu'ils deviennent le moteur d'intelligence artificielle de tous les objets de notre quotidien, mais aussi le seul point d'entrée. Ils dépensent des fortunes pour attirer start-up et grandes entreprises, qu'il s'agisse de fabricants d'appareils pour la maison (télévision, machine à café...) ou de voitures.
Il y a néanmoins un énorme problème : en intégrant les assistants d'Amazon ou de Google, ces entreprises se font tout simplement intermédier. En plus de perdre le contrôle de leur marque (l'assistant vocal ne se déclenche que quand il entend « Alexa » ou « OK Google »), elles abandonnent aussi le contrôle des données de leurs utilisateurs, quoi qu'ils disent ou quoi qu'ils fassent.
Ce faisant, les entreprises européennes deviennent de simples tuyaux pour les géants américains, accélérant leur colonisation numérique en leur fournissant encore plus de données. Les industriels se retrouvent cantonnés à vendre leur produit avec une marge ridicule, alors que les Gafa se gavent sur leur dos. Ce n'est qu'une question de temps avant que votre four ne vous oblige à écouter une publicité au début de la cuisson de votre poulet !
Par ailleurs, le nouveau règlement européen sur les données personnelles (RGPD) est sans équivoque : pour être dans la légalité, il faut avoir le consentement des utilisateurs avant de pouvoir traiter leurs données. Or, la voix est une donnée biométrique, et donc identifiante au même titre que les empreintes digitales. En théorie, chaque personne susceptible d'être enregistrée devrait donner son consentement, ce qui pose un vrai problème d'expérience utilisateur pour les produits intégrant un assistant vocal. Imaginez faire un dîner chez vous et devoir demander à chacun de vos invités de donner son consentement à votre lampe, car elle intègre l'assistant vocal d'Amazon !
Au-delà de l'aspect légal, il y a aussi une forte problématique de vie privée. Il s'avère (surprise !) que personne n'aime se faire écouter dans sa maison. Même aux Etats Unis, pays pourtant plus laxiste sur ces questions, plus de 48 % des consommateurs se disent inquiets de la façon dont les enceintes intelligentes traitent leurs données. En France, la CNIL a publié un avis dénonçant les risques de ces objets et préconisant de les éteindre lorsqu'ils ne sont pas utilisés !
Il y a heureusement une solution simple : ne pas récupérer la donnée en premier lieu. En effet, plutôt que d'envoyer la voix des utilisateurs dans le cloud, pourquoi ne pas la traiter localement, sur l'objet avec lequel ils sont en train de parler ? Après tout, nous avons aujourd'hui des technologies permettant de faire tourner des assistants vocaux sur des composants à 5 euros, donc pourquoi pas sur des objets à 100 euros ? Cela éviterait les problèmes de consentement et garantirait leur respect de la vie privée des utilisateurs. Autre avantage, en rendant ces technologies accessibles en marque blanche, on redonne le contrôle à l'entreprise qui fabrique l'objet. Plutôt que de se faire intermédier par les Gafa, l'entreprise décentralise en en faisant profiter son propre écosystème !
Après la décennie du smartphone que l'Europe a globalement ratée, les assistants vocaux sont en passe de devenir les nouvelles plates-formes de consommation pour la décennie qui commence. Et les Gafa sont en marche pour prendre le contrôle de nos voix, de nos maisons et de nos vies. Il ne faut pas se laisser faire. Il faut impérativement promouvoir les solutions vocales européennes, celles qui sont alignées avec notre conviction fondamentale du respect de la vie privée ! Ne perdons pas de temps, c'est aujourd'hui une question de souveraineté numérique, de souveraineté des marques et de souveraineté des citoyens français et européens.
DATE-CHARGEMENT: 22 janvier 2018
LANGUE: FRENCH; FRANÇAIS
NOTES: Rand Hindi est fondateur de Snips.
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
124 of 500 DOCUMENTS
Acteurs publics
19 janvier 2018
1978, année zéro de la protection des données
RUBRIQUE: ACTUALITES
LONGUEUR: 732 mots
Nom de code : Safari. Sous ses airs presque anodins, cet acronyme se retrouve au coeur d'un scandale qui éclate au printemps 1974. C'est un article du Monde du 21 mars* qui met le feu aux poudres. Le journaliste Philippe Boucher y alerte du "secret qui entoure l'épanouissement de l'informatique dans les administrations" et des dangers potentiels de son utilisation par l'État. Il y est donc question du "Système automatisé pour les fichiers administratifs et le répertoire des individus" auquel le ministère de l'Intérieur s'intéresse de très près. À terme, ce "projet Safari" doit permettre de centraliser les quelque "100 millions de fiches, réparties dans 400 fichiers" détenues par les services de police, voire de les recouper avec d'autres sources (cadastre, fichier des impôts...) afin de constituer un identifiant unique pour "chaque Français". Une perspective qui fait alors resurgir de très noirs souvenirs : le fichage des juifs et des étrangers en 1941 avait grandement facilité la tâche de l'administration de Vichy...
La polémique grandit d'autant plus vite que les progrès de l'informatique, bien qu'encore balbutiante et confidentielle au regard de ce qu'elle est aujourd'hui, commencent à inquiéter. Elle pousse le Premier ministre, Pierre Messmer - auquel va bientôt succéder Jacques Chirac, après le décès de Georges Pompidou -, à mettre en place très rapidement une commission présidée par le vice-président du Conseil d'État, Bernard Chenot, et baptisée "Informatique et Libertés", chargée de proposer un cadre législatif pour l'utilisation de l'informatique. Un peu plus d'un an plus tard, en juin 1975, la commission livre ses propositions dans un rapport rédigé par le conseiller d'État Bernard Tricot, duquel va largement s'inspirer le projet de loi présenté en juillet 1976 par le ministre de la Justice d'alors, Jean Lecanuet.
Syndrome Big Brother
Celui-ci prévoit la création d'une commission de contrôle indépendante - la future Cnil - de 12 membres chargée de présenter un rapport annuel au président de la République ; un droit d'accès pour chaque citoyen aux fichiers le concernant et un droit de rectification (à l'exclusion des informations touchant à la sûreté de l'État, à la défense nationale et à la sûreté publique) et stipule qu'aucune donnée sur la race, la religion ou l'appartenance politique d'une personne ne peut être conservée dans un fichier.
Jusqu'à la promulgation de la loi "relative à l'informatique, aux fichiers et aux libertés", le 6 janvier 1978, et encore bien après la naissance effective de la Commission nationale de l'informatique et des libertés (en janvier 1980), la question du traitement de ce que l'on ne nomme pas encore les "données à caractère personnel" ne cesse d'alimenter le débat public, après avoir agité les bancs parlementaires. Dans les médias, elle est posée en ces termes : l'ordinateur menace-t-il nos libertés ? Que se passerait-il si les informations issues de l'interconnexion des fichiers, permettant de tout savoir sur le citoyen, tombaient entre de mauvaises mains ? Le syndrome Big Brother plane. On est pourtant à mille lieues d'imaginer les "autoroutes de l'information" des années 2000 et encore plus loin de concevoir le big data et le cloud d'aujourd'hui : fin 1980, on ne recense que quelque 250 000 fichiers informatiques (publics et privés). Et même si l'on a entrevu dès la fin des années 1970 de possibles usages vertueux des données informatisées par l'administration - pour la santé ou la lutte contre la fraude par exemple -, on songe toujours à prémunir le citoyen contre la "tyrannie de l'ordinateur", qu'elle émane de la sphère publique ou privée.
C'est contre cela que la Cnil, outil administratif d'un nouveau genre - elle est la toute première autorité administrative indépendante - est conçue pour servir de rempart. Il faut pourtant attendre 2004 (et la loi du 6 août) pour qu'elle soit dotée de pouvoirs de sanction. Entretemps, l'informatique a gagné du terrain... Et le droit en la matière s'est étoffé en conséquence. Le nouveau règlement européen sur la protection des données (RGPD), qui doit entrer en vigueur le 25 mai prochain dans les États membres de l'Union européenne, appelle ainsi la modification de quelques articles de la loi de 1978. C'est l'objet du projet de loi dit Cnil 2, qui doit encore être examiné par le Parlement.
* "« Safari » ou la chasse aux Français".
DATE-CHARGEMENT: 19 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Société d'édition publique
Tous droits resérvés
125 of 500 DOCUMENTS
Acteurs publics
19 janvier 2018
1978, année zéro de la protection des données
RUBRIQUE: SECURITE
LONGUEUR: 732 mots
Nom de code : Safari. Sous ses airs presque anodins, cet acronyme se retrouve au coeur d'un scandale qui éclate au printemps 1974. C'est un article du Monde du 21 mars* qui met le feu aux poudres. Le journaliste Philippe Boucher y alerte du "secret qui entoure l'épanouissement de l'informatique dans les administrations" et des dangers potentiels de son utilisation par l'État. Il y est donc question du "Système automatisé pour les fichiers administratifs et le répertoire des individus" auquel le ministère de l'Intérieur s'intéresse de très près. À terme, ce "projet Safari" doit permettre de centraliser les quelque "100 millions de fiches, réparties dans 400 fichiers" détenues par les services de police, voire de les recouper avec d'autres sources (cadastre, fichier des impôts...) afin de constituer un identifiant unique pour "chaque Français". Une perspective qui fait alors resurgir de très noirs souvenirs : le fichage des juifs et des étrangers en 1941 avait grandement facilité la tâche de l'administration de Vichy...
La polémique grandit d'autant plus vite que les progrès de l'informatique, bien qu'encore balbutiante et confidentielle au regard de ce qu'elle est aujourd'hui, commencent à inquiéter. Elle pousse le Premier ministre, Pierre Messmer - auquel va bientôt succéder Jacques Chirac, après le décès de Georges Pompidou -, à mettre en place très rapidement une commission présidée par le vice-président du Conseil d'État, Bernard Chenot, et baptisée "Informatique et Libertés", chargée de proposer un cadre législatif pour l'utilisation de l'informatique. Un peu plus d'un an plus tard, en juin 1975, la commission livre ses propositions dans un rapport rédigé par le conseiller d'État Bernard Tricot, duquel va largement s'inspirer le projet de loi présenté en juillet 1976 par le ministre de la Justice d'alors, Jean Lecanuet.
Syndrome Big Brother
Celui-ci prévoit la création d'une commission de contrôle indépendante - la future Cnil - de 12 membres chargée de présenter un rapport annuel au président de la République ; un droit d'accès pour chaque citoyen aux fichiers le concernant et un droit de rectification (à l'exclusion des informations touchant à la sûreté de l'État, à la défense nationale et à la sûreté publique) et stipule qu'aucune donnée sur la race, la religion ou l'appartenance politique d'une personne ne peut être conservée dans un fichier.
Jusqu'à la promulgation de la loi "relative à l'informatique, aux fichiers et aux libertés", le 6 janvier 1978, et encore bien après la naissance effective de la Commission nationale de l'informatique et des libertés (en janvier 1980), la question du traitement de ce que l'on ne nomme pas encore les "données à caractère personnel" ne cesse d'alimenter le débat public, après avoir agité les bancs parlementaires. Dans les médias, elle est posée en ces termes : l'ordinateur menace-t-il nos libertés ? Que se passerait-il si les informations issues de l'interconnexion des fichiers, permettant de tout savoir sur le citoyen, tombaient entre de mauvaises mains ? Le syndrome Big Brother plane. On est pourtant à mille lieues d'imaginer les "autoroutes de l'information" des années 2000 et encore plus loin de concevoir le big data et le cloud d'aujourd'hui : fin 1980, on ne recense que quelque 250 000 fichiers informatiques (publics et privés). Et même si l'on a entrevu dès la fin des années 1970 de possibles usages vertueux des données informatisées par l'administration - pour la santé ou la lutte contre la fraude par exemple -, on songe toujours à prémunir le citoyen contre la "tyrannie de l'ordinateur", qu'elle émane de la sphère publique ou privée.
C'est contre cela que la Cnil, outil administratif d'un nouveau genre - elle est la toute première autorité administrative indépendante - est conçue pour servir de rempart. Il faut pourtant attendre 2004 (et la loi du 6 août) pour qu'elle soit dotée de pouvoirs de sanction. Entretemps, l'informatique a gagné du terrain... Et le droit en la matière s'est étoffé en conséquence. Le nouveau règlement européen sur la protection des données (RGPD), qui doit entrer en vigueur le 25 mai prochain dans les États membres de l'Union européenne, appelle ainsi la modification de quelques articles de la loi de 1978. C'est l'objet du projet de loi dit Cnil 2, qui doit encore être examiné par le Parlement.
* "« Safari » ou la chasse aux Français".
DATE-CHARGEMENT: 25 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Société d'édition publique
Tous droits resérvés
126 of 500 DOCUMENTS
Economie Matin
19 janvier 2018 04:00 AM GMT
Quelles tendances pour le CRM en 2018 ?
LONGUEUR: 1686 mots
Il y a maintenant des années que le CRM ne se borne plus à la simple gestion de la relation client. Cet élargissement du périmètre fonctionnel a d'ailleurs amené nombre d'éditeurs à rebaptiser leurs solutions. Le CRM est ainsi devenu une plateforme puissante et extensible permettant d'accueillir en son sein une multitude de nouveaux objets et processus métiers. Des processus certes toujours orientés " client " (ou patients, partenaires, administrés, élèves selon ce que l'on souhaite suivre), mais qui vont désormais bien au-delà des fonctionnalités de base de suivi d'un processus de vente ou bien de service client. Les nouvelles attentes des consommateurs ont incité les éditeurs de CRM à transformer en profondeur leurs solutions pour qu'elles répondent à deux impératifs : qu'elles soient customer-centric et qu'elles proposent une expérience utilisateur (UX) optimale et intelligente.
Customer-centric pour que l'expérience client et son engagement soient le coeur battant de l'application. Les consommateurs attendent de leur relation avec les organisations de la proactivité, de l'intelligence, ainsi qu'un décloisonnement des informations et des processus entre services. Et c'est même le minimum qui est attendu aujourd'hui ! Chaque détail et chaque attention supplémentaire apportés lors des points de contact entre le client et l'organisation contribuent à rendre l'expérience client unique. Ces détails et ces attentions deviennent alors des avantages compétitifs majeurs. L'expérience client se mesure d'ailleurs également en émotion, tout en préservant l'intimité et sans paraître intrusif ! Expérience utilisateur car il faut faire mieux en moins de temps. Les applications doivent donc guider les utilisateurs en étant plus intelligentes, plus intuitives et plus simples. Les attentes en termes de gains de productivité et d'efficacité opérationnelle sont de plus en plus fortes. Alors quelles tendances pour le CRM en 2018 ? Social Selling et intégration LinkedIn Vos commerciaux utilisent majoritairement LinkedIn pour tisser des liens et prospecter. Votre CRM est aussi connecté avec LinkedIn Sales Navigator, qui en plus de vous aider à cibler des décideurs et des entreprises, vous fait des suggestions de prospects personnalisées en fonction de vos besoins. Pour démarrer la conversation et entrer en relation avec eux, LinkedIn vous propose des icebreakers (relations en communs, centres d'intérêts partagés, même parcours académique...). Pour poursuivre le travail en équipe, vous les importez dans votre CRM et avancez dans le cycle de vente. Vos campagnes marketing ciblées sur LinkedIn permettent l'intégration à votre CRM de prospects intéressés. Ils sont automatiquement qualifiés selon des règles que vous aurez définies, et vos équipes prendront le relais pour suivre l'opportunité. IoT et service terrain connecté Les objets connectés sont une aubaine pour les consommateurs et les entreprises : les maintenances sont optimisées, les défaillances anticipées et la réactivité aux incidents est décuplée. Les plateformes de gestion des objets connectés sont désormais matures et elles sont connectées aux solutions CRM de gestion de service client et de service terrain. En cas d'anomalie sur un objet connecté, un incident est créé dans CRM et un technicien se voit automatiquement assigné un ordre de travail sur son téléphone pour intervenir. Et tout cela intelligemment : en fonction des compétences du technicien, des préférences du client, de la disponibilité et de la distance à parcourir. L'opportunité pour les entreprises est immense : diversification de leur offre de services, amélioration continue de l'expérience et la satisfaction de leurs clients et gestion optimisée de leurs ressources. Tout cela au sein d'une unique solution. Big Data, Data Science et Machine Learning au service des insights client et de la vision 360deg; de demain Le volume et la diversité des données liées aux clients est en constante augmentation. Au-delà de son historique de transactions, on suit ses interactions marketing, ses clics, sa navigation web ou mobile, son comportement online mais aussi offline, sur vos plateformes ou sur les réseaux sociaux, et maintenant les données issues de ses objets connectés. Les bases de données traditionnelles ne permettent pas de gérer une telle volumétrie et disparité d'informations, mais les solutions Big Data sont là pour prendre le relais. L'idée n'est bien sûr pas de stocker toutes ces informations dans votre CRM, mais plutôt d'avoir la possibilité de les croiser entre elles, de détecter des corrélations et d'identifier des modèles afin d'en faire ressortir des indicateurs pertinents pour le métier : tendances de consommation, anomalies (êtes-vous en train de perdre votre client ?), potentiel complémentaire, prévisions, et donc au final des Next Best Actions à suggérer à vos commerciaux. En outre, les nouvelles solutions Big Data et analytics du marché mettent entre les mains de vos équipes des outils simples mais puissants. Outils permettant de définir des segmentations marketing avancées, croisant toutes vos sources de données, mais aussi capable d'effectuer un predictive matching entre un pseudonyme d'un réseau social, un visiteur de votre site web et un contact de votre base client. Ce matching est aujourd'hui un challenge alors que c'est un élément fondamental pour définir et suivre le parcours client de bout en bout et aboutir à une vision 360deg; complète. IA, Chatbots et Intelligent Automation (RPA) Ouvrez les données de votre CRM à vos clients via des assistants virtuels (chatbots) déployés sur vos sites web, applications mobiles, pages Facebook, ou SMS. Une partie des demandes de vos clients peut être traitée automatiquement avec de l'intelligence artificielle : prise de rendez-vous, suivi d'une demande, suggestion de solutions en fonction de votre base de connaissances, création et qualification d'incidents... Laissez le soin à des services intelligents d'automatiser les tâches récurrentes et répétitives. Par exemple, laissez un robot faire une première analyse d'une photographie d'un dégât avant la création d'un incident. Vous pouvez également utiliser des technologies de reconnaissance de texte (OCR) pour analyser des scans de bons de commande et créer dans le CRM les contrats de garantie associés aux produits vendus. Suggérez proactivement à vos utilisateurs des actions pour organiser leur journée de travail, depuis leurs tableaux de bord ou depuis leur application mobile : des cartes d'action pour un e-mail urgent à traiter dans leur boîte de réception, une opportunité clôturant bientôt, ou un client sans interaction depuis trop longtemps. Portail clients et ouverture des données de votre CRM à vos clients et partenaires Les réponses aux demandes de vos clients peuvent en majorité être apportées sans interaction avec vos équipes. Comment ? En donnant accès à vos clients à leurs données (coordonnées, livraisons, commandes, réclamations, factures...). Lors de la saisie d'une nouvelle réclamation, vous pouvez automatiquement suggérer à vos clients la lecture d'articles de votre base de connaissances pertinents et éviter les interactions à faible valeur ajoutée avec votre service client. Le 25 mai 2018, le règlement général de protection des données (RGPD ou GDPR) devra être mis en oeuvre de manière unilatérale dans toutes les entreprises des 28 pays de l'Union Européenne. Ce nouveau règlement va modifier profondément la manière dont les données personnelles des européens devront être traitées. Votre CRM sera-t-il bien conforme ? Intégration poussée des solutions de Digital Marketing et CRM Comblez le fossé entre vos équipes marketing et commerciales. Les solutions de Digital Marketing et CRM sont distinctes, mais elles sont de mieux en mieux connectées et intégrées. Identifiez et scorez vos prospects dans votre solution d'automatisation marketing et envoyez-les dans votre CRM pour qualification par un commercial dès qu'ils dépassent un certain score. Définissez des modèles intelligents pour croiser les données issues de vos campagnes marketing, de vos réseaux sociaux et de vos sites internet avec les données CRM pour affiner vos segmentations et personnaliser davantage l'expérience client sur vos sites, applications ou en magasin. La data au coeur de l'entreprise et à la portée de tous Même après avoir mis les meilleurs rapports sur étagère à disposition du métier, vos utilisateurs auront toujours des besoins changeants (et urgents) en termes de reporting. Laissez-les prendre la main sur les données avec des outils simples de datavisualisation en self-service, leur permettant de créer de nouveaux rapports, de croiser des données issues de différentes sources et de partager les indicateurs décisionnels avec d'autres utilisateurs et équipes. Des options de personnalisation à la portée de tous les utilisateurs : tableaux de bord, exports Excel préformatés, modèles de document Word Démultiplication des usages métier des outils CRM Les solutions CRM du marché continuent à s'enrichir de nouveaux modules métier, allant bien au-delà des traditionnels modules ventes et services clients, et des verticaux par industrie. Avec la gestion de service terrain, augmentez la satisfaction client grâce à une planification intelligente, une prise en charge mobile et un pilotage des ressources à distance afin que le travail soit anticipé, optimisé et réussi du premier coup. L'automatisation de projets vous aide à tirer le meilleur parti de vos projets, de les gérer de manière plus productive en réunissant les personnes, les processus et la technologie de l'automatisation pour une expérience unifiée. En conclusion : donnez le pouvoir à vos équipes ! En élargissant leur périmètre et en intégrant de nouvelles fonctionnalités, les solutions CRM remettent en question la distribution des processus métiers au sein des différentes applications du SI. Les solutions CRM s'inscrivent plus que jamais en clé de voûte de toute stratégie de transformation. Et pour vous, quelles sont les tendances CRM de demain ?
DATE-CHARGEMENT: 23 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Economie Matin
Tous droits réservés
127 of 500 DOCUMENTS
IT for Business
19 janvier 2018
Les baromètres du mois
AUTEUR: Source :Gartner
RUBRIQUE: REPÈRES; Pg. 0018, 0019 N° 2224
LONGUEUR: 701 mots
Les chiffres marquants
87 % des DSI estiment que leurs politiques et procédures actuelles ne sont pas conformes au RGPD. Source : IDC
2 000 % C'est le taux d'augmentation des détections de ransomwares depuis 2015. Source : Malwarebytes
90 % des sites Internet des entreprises du CAC 40 ont des efforts à faire pour devenir « mobile friendly ». Source : Étude Activis - Décembre 2017
96 % des décideurs du arketing, du commerce et de la relation client auront automatisé des processus, tâches ou actions propres à leurs missions d'ici 2020. Source : Markess
47 % des entreprises iront jusqu'à ajouter le respect obligatoire de mesures concernant le RGPD dans les contrats d'embauche pour faciliter le respect de cette réglementation. Source : Veritas
Marché IT
Syntec Numérique a publié ses chiffres pour 2017. Bonne nouvelle, la croissance du secteur estimée en mars à 3 % a été revue à +3,4 % pour 2017. Les prévisions pour 2018 montent à 3,6 %. Toutes les activités, Conseil et Services, Édition de logiciels et Conseil en technologies bénéficient de cette tendance même si, comme en 2016, l'édition logicielle reste en tête avec un +4,4 % en 2017 et +4,7 % attendu cette année. Dans son ensemble, le secteur représentait 447 000 emplois dont 19 000 créations nettes de postes en 2017.
Source : Syntec - Décembre 2017
Conseil et services
Selon le découpage de l'étude de Syntec Numérique, les activités Conseil et Services représentent 61 % des parts de marché du secteur IT, contre 17 % en conseil en technologies et 22 % pour l'édition de logiciels. Sur ce segment, la croissance devrait monter à 3 % en 2018. La demande émanera de tous les secteurs d'activité. Dans le détail, l'infogérance d'infrastructure stagne, tandis que les activités de conseil, d'intégration et d'infogérance applicative croissent.
Source : Syntec - Décembre 2017
Digital Workplace
Selon une étude d'Umanis menée auprès de 88 décideurs (IT, RH, innovation...) de grandes entreprises, les nouveaux outils de Digital Workplace sont au coeur de la transformation numérique des entreprises. Ce, notamment, pour permettre aux collaborateurs de pouvoir travailler en tout lieu. Les DSI se sentent les plus concernés par ces questions, à hauteur de 67 %. Si 80 % des entreprises disent s'être engagées dans la transformation numérique, seulement 9 % sont équipées de solutions de Digital Workplace aujourd'hui.
Source : Umanis - Décembre 2017
Serveurs
Le marché des serveurs dans la zone EMEA a connu un certain regain au troisième trimestre 2017. La progression du chiffre d'affaires global reste en partie artificielle. Selon Gartner, l'augmentation du prix de certains composants, due aux pénuries d'approvisionnement et répercutée sur les clients, explique principalement cette croissance. Mais le nombre d'unités vendues a également légèrement progressé. HPE et Dell EMC continuent d'écraser le marché, cependant que la part de Lenovo chute de 27 %.
Sécurité
Une étude de Fortinet a mis en exergue un certain paradoxe en matière de sécurité : 50 % des décideurs IT d'entreprises françaises se disent confiants dans leur niveau de cyber-sécurité quand 77 % d'entre eux déclarent avoir subi un incident de sécurité au cours des deux dernières années... La cause principale de ces incidents ? Elle tiendrait notamment, selon l'étude, au manque de sensibilisation des collaborateurs. La répartition des investissements souligne la faible part allouée à la formation et aux audits, en France, par rapport au soin pris à renouveler les équipements et les solutions.
Source : Fortinet - décembre 2017
Les contrats du mois
Les chiffres marquants
1 550 Md$ C'est le montant mondial des dépenses informatiques attendu pour 2018. Source : Deloitte
52 % des entreprises ne contrôlent pas les données échangées entre les API. Source : Radware
547 Md$ C'est le total que devraient atteindre les dépenses « IT as a Service » en 2018. Source : Deloitte, HPE et CIONET
57,5 millions C'est le nombre d'échantillons de nouveaux malwares détectés au troisième trimestre 2017. Source : McAfee Labs Threat Report
64 % des décideurs RH estiment que le digital favorise le partage et la collaboration au travail. Source : Markess pour Sopra HR Software
DATE-CHARGEMENT: January 18, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2018 NEWSCO
Tous droits réservés
128 of 500 DOCUMENTS
IT for Business
19 janvier 2018
À 100 ans, le Groupe Revue Fiduciaire se réinvente grâce au digital
AUTEUR: Xavier Biseul
RUBRIQUE: TRANSFORMATION; Pg. 0026, 0027 N° 2224
LONGUEUR: 1406 mots
ENCART: En 2012, la maison de presse et d'édition a opté pour un nouveau système éditorial open source générant des flux XML en mode natif. Ce virage vers le digital lui permet de multiplier les services innovants, du papier connecté au PDF propriétaire.
Une start-up centenaire, c'est ainsi que se présente le Groupe Revue Fiduciaire (GRF). La maison de presse et d'édition souffle effectivement ses cent bougies cette année. Le côté start-up est moins évident et pourtant le groupe spécialisé dans les métiers du chiffre et du droit a su se réinventer à grand renfort d'innovations. « Dans un secteur en décroissance comme le nôtre, il faut se démarquer et apporter des services à valeur ajoutée pour survivre », avance Gilles Nay, direc-teur général adjoint de la société, qui se réjouit d'être à la tête de la « douzième PME la plus rentable de France ». GRF est d'abord connu pour publier La Revue Fiduciaire et ses déclinaisons. GRF édite également le Feuillet hebdo qui traite de l'actualité sociale, fiscale ou patrimoniale et Intérêts Privés, des parutions vendues exclusivement sur abonnement. La partie édition, c'est 75 à 100 ouvrages millésimés avec pour best-seller, le code du travail annoté.
Jusqu'à peu, la rédaction travaillait à l'ancienne. Le rédacteur rédigeait sous Word, imprimait sa copie et la déposait dans la corbeille de la correctrice. Celle-ci apportait ses corrections en rouge. Le rédacteur faisait les modifications, toujours sous Word, et envoyait la copie corrigée à un maquettiste qui la ressaisissait sous InDesign. Un démoulage XML venait alimenter les différents sites web du groupe. 2012 a sonné l'heure de la digitalisation, GRF basculant sur un nouveau système d'information éditorial basé sur des flux XML en mode natif. L'édi-teur français Nuxeo a été retenu en shortlist face à MarkLogic. Si le facteur coûts a fortement joué en faveur de l'acteur open source, GRF souhaitait aussi la plateforme la plus flexible, ouverte et personnalisable possible. « Comme tout groupe de presse et d'édition, nous voulions un CMS qui s'adapte à nos modes de fonctionnement et non l'inverse », insiste Gilles Nay.
Dans le modèle actuel, Le workflow du CMS (content management system) embarque toute la structure de l'ouvrage et les templates correspondants. Le rédacteur sait ainsi quel est le format qu'il lui est affecté et quels champs il doit remplir, tout en prévisualisant le contenu édité. Le rédacteur-en-chef donne son BAT (bon à tirer) dans le CMS « plugué » au système de production. Ce BAT génère un fichier XML qui est exporté vers les sites web et aussi vers InDesign à la réalisation. Les maquettistes effectuent quelques retouches avant l'envoi vers l'imprimeur. « Cela diminue le temps entre le bouclage et l'envoi vers l'imprimeur. Il y a moins d'aller-retours et le travail des maquettistes est allégé. Le BAT peut être donné tardivement. » Autre gain, la nouvelle plateforme favorise la réutilisation des contenus. « Le hors-série que nous avons consacré à la réforme du code du travail peut être réutilisé pour en faire un ouvrage unitaire ».
Fin 2012, GRF éprouvait la plateforme en commençant par l'édition, moins soumise à la pression sur les délais que la presse. Le POC portait sur le dictionnaire social, un ouvrage millésimé qui a donc besoin d'être actualisé. Quatre ans plus tard, la migration de la totalité des contenus est achevée. La plateforme Nuxeo comprend aujourd'hui pas loin de 500 000 documents, dont 4 codes, 6 dictionnaires, 71 guides et ouvrages spécialisés et une dizaine de revues. Le système éditorial est aussi alimenté en open data. Les contenus de Légifrance sont automatiquement récupérés et les rédacteurs reçoivent une alerte sur leur poste dès qu'un nouveau texte est disponible.
Piloté par Christophe Bossut, ex-DSI devenu DG délégué de GRF, le projet a fait intervenir LTO, une société du groupe, pour l'intégration et l'accompagnent au changement. Gilles Nay insiste sur la véritable transformation organisationnelle que revêt ce type de chantier. « Avec cette réorganisation, des collaborateurs ont évolué vers de nouveaux métiers. » Une fois le socle éditorial posé, GRF a pu se lancer dans le développement de services innovants. Dès 2013, le groupe a proposé une édition en réalité augmentée de ces publications en sortant l'application mobile GRF+. Pas de QR code, il suffit de scanner une page sur son smartphone pour réactualiser son contenu. Apparaissant en surimpression, une pastille verte indique que le texte est toujours valide, en rouge qu'il a été modifié depuis la parution, en noir qu'il a été abrogé. En bleu, s'affichent les nouveaux textes. Si la réalité augmentée s'est aujourd'hui généralisée, GRF a dû faire preuve de pédagogie à l'époque, se souvient Gilles Nay. « Nous sommes un des rares acteurs à apporter une vraie valeur ajoutée. Le code du travail, c'est 3 000 pages avec des textes qui ont été modifiés ou abrogés. Entre le BAT et la diffusion, il y a déjà des centaines de textes qui ne sont plus à jour. Sans Nuxeo et la granularité de XML, nous n'aurions pas pu arriver à ce résultat. » La réalité augmentée permet aux rédacteurs de générer des quizz en rapport avec leurs articles. Le lecteur y répond depuis l'application mobile. L'application mobile s'est aussi étoffée d'un fil d'actualités et de fonctionnalités audio. Le fichier XML est soumis à un outil de conversion « text to speech » qui génère un fichier mp3 permettant à l'abonné d'écouter l'article en cliquant sur l'icône ad hoc.
GRF a également a développé son propre format de PDF, le PDF Z, l'axe Z symbolisant la gestion des droits numériques (DRM). Ce format propriétaire encapsule du contenu HTLM5 pour en contrôler son accès. Selon ses droits, l'abonné peut ouvrir le fichier sur une période donnée, l'imprimer ou non, le télécharger ou pas. Ce PDF Z embarque des traqueurs pour remonter différentes statistiques comme le temps passé par le lecteur sur chaque page. Des indica-tions précieuses pour la rédaction. Elle sait, par exemple, que la page 5 a été vue par 80 % des abonnés. La version PDF du Feuillet Hebdo est aussi envoyée le mardi à l'abonné en même temps que le fichier chez l'imprimeur. Il peut ainsi prendre connaissance du sommaire, des brèves, des actualités, avant de prolonger sa lecture par les articles de fond dans la version papier qu'il recevra au courrier deux jours plus tard.
6 M de revues distribuées par an 35 M(EURO) de chiffre d'affaires 200 collaborateurs dont 75 rédacteurs internes ou externes
Selon Gilles Nay, la lecture du PDF Z augmente de semaine en semaine. « On savait intuitivement que cela répondait à un besoin. » Pour autant si GRD aurait tout intérêt à passer au tout numérique, « les habitudes de lecture, l'attachement au papier restent bien ancrés ».
La nouvelle plateforme éditoriale est venue appuyer la politique de diversification du groupe. Dans le cadre des prestations de formation que propose GRF, le contenu des revues et des ouvrages vient enrichir les modules d'e-learning. Autrefois en flash, ces modules sont aujourd'hui en responsive design et disponibles hors connexion - avec une mise en cache des contenus - pour tout type de support (poste fixe, tablette, smartphone). GRF édite aussi des logiciels en marque blanche. La granularité fine du XML lui permet d'enrichir ses logiciels experts de contenus contextualisés. Des bulles d'aide accompagnent la télédéclaration, les liasses fiscales, d'autres expliquent que ce champ de saisie correspond à tel texte de loi. Enfin, GRF commercialise des sites web clés en main aux cabinets comptables. Cette offre est associée à une lettre d'information avec le logo du cabinet que ce dernier envoie à ses clients. Une offre couplée rendue possible par l'automatisation de la chaîne éditoriale. · Xavier Biseul
UN ASSISTANT VOCAL ET UN CHATBOT POUR VALORISER LE FONDS DOCUMENTAIRE
GRF teste actuellement l'assistant vocal de Google Home avec un lancement prévu de son service au 1er semestre 2018. En parallèle, il travaille sur un chatbot en mode textuel. Dans les deux cas, il s'agit d'interroger son fonds documentaire. S'adressant à des métiers divers, le fonds sera sectorisé en sept thématiques. « La même question posée par un responsable RH ou un directeur financier ne débouche pas sur la même réponse. Cela suppose des questions de profilage, en conformité avec le RGPD », note Gilles Nay. Pour innover, GRF s'appuie sur un écosystème d'une dizaine de start-up dans les métiers de la presse, de la formation et de l'édition, qu'il a créées ou dont il a pris une participation. On peut citer Wemap (cartographie de contenus), digiSchool (edtech), SnapPress ou Bear (réalité augmentée).
DATE-CHARGEMENT: January 18, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2018 NEWSCO
Tous droits réservés
129 of 500 DOCUMENTS
IT for Business
19 janvier 2018
Le continent africain, un défi stratégique à relever Philippe Birot
RUBRIQUE: Pg. 0078 N° 2224
LONGUEUR: 712 mots
ENCART: Country Manager Afrique chez Exclusive Networks
L'Afrique est un marché en pleine mutation digitale où la révolution numérique bat son plein et où l'usage des nouvelles technologies se répand de plus en plus. Depuis quelques années, de nombreuses entreprises européennes cherchent à s'y implanter, en quête de nouveaux territoires à digitaliser. L'Afrique est-elle vraiment, entre autres, le nouvel eldorado de la cybersécurité ? Si le continent est vaste, les difficultés qui lui sont intrinsèques le sont tout autant. Entre les problématiques locales, légales et financières, les entreprises doivent faire face à des risques certains, pouvant cependant leur offrir de nombreuses opportunités en termes d'innovation.
Avec 20 % de sa population connectée à Internet en 2015, l'Afrique est un continent en « voie de connexion ». Une partie du continent profite des retombées économiques du numérique, mais doit également faire face à la montée des cyber-menaces. Le continent, sclérosé par des inégalités d'accès au web, prive une grande partie de la population du cyberespace et de ses enjeux.
Pour autant, il existe bel et bien un développement du numérique en Afrique, facilitant un développement économique local et régional. Pour accompagner ce mouvement, certains pays comme le Sénégal ou le Kenya se sont dotés d'autorités chargées de piloter et promouvoir le développement des TIC au niveau national.
En plein essor, le continent fait face à de réels besoins en termes de cybersécurité. Qu'il s'agisse des États, des administrations, des entreprises grandes ou moyennes, ou encore des particuliers : tous sont exposés à la cyber-criminalité. Si la demande est là, les entreprises doivent adapter leurs offres aux différentes zones géographiques. Le Maroc, par exemple, bénéficie d'un marché numérique structuré et d'un climat politique plus rassurant pour les investisseurs que d'autres pays. En revanche, le Nigeria, première économie africaine, subit toujours des contraintes financières, légales et locales.
Dans certains pays, notamment en Afrique de l'Ouest, le marché est encore peu structuré. C'est le cas notamment pour la Sierra Leone, le Mali ou encore le Liberia. Les entreprises qui souhaitent s'y installer font donc face à des défis de taille.
Au niveau local, il leur faut construire un réseau de revendeurs certifiés et compétents « from scratch ». Un premier obstacle renforcé par l'aspect légal. En effet, les problématiques douanières complexifient les échanges avec l'Europe. Les entreprises européennes sont tenues de demander des licences d'export pour toute solution contenant de la cryptologie, des autorisations contraignantes pour assurer leur cycle de vente en Afrique.
Les difficultés financières peuvent également avoir leur poids : les délais de paiement des sociétés africaines peuvent s'étirer sur de longs mois, là où les délais français par exemple sont - légalement - limités à 60 jours. Les entreprises qui souhaitent conquérir le continent africain doivent donc s'attendre, dans certaines régions, à faire la « banque » pour leurs partenaires (intégrateurs, revendeurs ou consultants).
La mise en place du RGPD peut également constituer un atout pour repositionner les acteurs du numérique européens sur l'échiquier mondial. Néanmoins, en Europe, les collaborateurs d'une entreprise sont sensibilisés à la menace informatique : nous sommes encouragés à nous protéger avec des mots de passe, à communiquer et à stocker les fichiers numériques de façon sécurisée. Maintenir le système à jour, effectuer régulièrement des copies de secours, protéger ses informations, ne pas cliquer sur n'importe quel mail, lien, image ou vidéo... Ces bonnes pratiques font partie de notre culture IT.
En Afrique, en revanche, la mise en place de ces best practices est beaucoup plus récente, donc ce genre de réglementation n'existe pas encore. Pourtant, le continent devra rapidement dépasser les défis posés par ses territoires éloignés et ses politiques différentes pour se coordonner autour d'un certain nombre d'habitudes à adopter.
Depuis quelques années, l'Afrique connaît un véritable essor en termes d'usages des nouvelles technologies. Si, pour les entreprises européennes, le marché reste porteur et facilement accessible, les défis qu'elles devront y relever sont néanmoins complexes. ·
DATE-CHARGEMENT: January 18, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2018 NEWSCO
Tous droits réservés
130 of 500 DOCUMENTS
La Tribune
Vendredi 19 Janvier 2018
Le risque cyber, le 2ème le plus redouté par les entreprises
AUTEUR: Delphine Cuny
RUBRIQUE: NUMÉRIQUE; Pg. 52
LONGUEUR: 907 mots
ENCART: Selon le baromètre mondial annuel d'Allianz, les risques liés aux piratages et pertes de données devancent ceux des catastrophes naturelles chez les entreprises. Dans la finance, ils sont désormais numéro un, devant les risques réglementaires ou les évolutions du marché.
L'année 2017 aura été marquée par plusieurs attaques informatiques majeures au retentissement mondial, notamment les rançongiciels (ransomware) WannaCry et Petya. Dans ce contexte, il peut paraître logique que les incidents "cyber", tels que les piratages, les défaillances informatiques et autres vols ou pertes de données, grimpent à la deuxième place des risques auxquels sont exposées les entreprises, selon le baromètre mondial 2018 de l'assureur Allianz. En un an, le risque cyber a grimpé de la 3ème à la 2ème place, devant les catastrophes naturelles, qui n'ont pourtant pas faibli l'an dernier (ouragans Harvey, Irma et Maria notamment): il est cité par 40% des sondés (plus de 1.900 clients, courtiers, consultants, spécialistes des risques dans 80 pays) et talonne désormais le risque d'interruption d'activité, liée par exemple à une rupture de la chaîne logistique, retenu par 42% des interrogés. Il y a cinq ans, les incidents cyber étaient nº 15 dans ce baromètre, relève Allianz.
« Pour la première fois, les interruptions d'activités et les incidents cyber sont au coude à coude dans le baromètre des risques d'Allianz, et ils sont de plus en plus interdépendants », analyse Chris Fischer Hirs, directeur général d'Allianz Global Corporate & Specialty (AGCS), la filiale d'assurance des grands risques industriels. « Qu'ils soient dus à des attaques comme celle de WannaCry, ou plus fréquemment aux défaillances de systèmes, les incidents cyber sont une cause majeure d'interruption d'activité pour les entreprises, toujours plus en réseau, dont les principaux actifs sont souvent les données, les plateformes de services ou encore leurs clients et leurs fournisseurs. »
Risque de "cyber ouragans" Peut-être parce que l'attaque sans précédent WannaCry a touché des entreprises françaises, dont Renault, le risque cyber est aussi pris très au sérieux en France : il est cité par 46% des sondés (contre 27% un an plus tôt), juste derrière l'interruption d'activité (47%).
[Les 10 risques les plus redoutés en France. Crédits : Allianz]
« À l'ère de l'Industrie 4.0, alors que les entreprises dépendent de plus en plus du numérique pour gérer leurs chaînes logistiques, elles doivent faire face à une nouvelle menace, l'interruption d'activité après une cyberattaque », relève Corinne Cipière, CEO d'AGCS France. Dans d'autres pays, la crainte est encore plus élevée. Dans la région Amériques, le risque cyber est même désormais n°1 (cité par 42% des sondés contre 31% un an auparavant). Idem en Australie, en Inde, à Singapour, et dans plusieurs pays européens: Autriche (70%), Royaume-Uni (60%), Belgique (43%).
[Les risques business les plus redoutés en Europe. Crédits Allianz]
« Le risque d'événements appelés "cyber ouragans", au cours desquels des hackers perturbent un grand nombre d'entreprises en visant leurs infrastructures communes, continuera d'augmenter en 2018 », pointe l'étude d'Allianz. Si le risque cyber dans son ensemble est « le risque le plus sous-estimé et le principal danger à long terme » selon l'assureur, les entreprises européennes auraient tendance à en minimiser certains aspects.
« Par rapport aux États-Unis, où la réglementation est déjà stricte, en Europe les entreprises sont moins sensibilisées aux risques pour la vie privée », estime Emy Donavan, directrice mondiale de l'assurance cyber chez AGCS. « Nombre d'entre elles comprendront vite, lorsque le RGPD [Règlement général sur la protection des données, qui entre en vigueur dans toute l'UE en mai prochain, ndlr] sera pleinement applicable, que les questions de confidentialité peuvent engendrer des coûts élevés. L'expérience a montré que la gestion d'une crise cyber telle qu'une intrusion a un impact direct sur les coûts, mais aussi sur la réputation et la valeur boursière d'une entreprise. Ce sera encore plus le cas avec l'application du RGPD. »
Alerte rouge dans la finance Plusieurs secteurs ont placé le risque cyber en tête de leurs préoccupations depuis quelques années, notamment ceux de la technologie elle-même (59%) et des télécoms (77% contre 60% un an plus tôt). Il est intéressant de noter qu'il a grimpé en flèche dans le secteur de la finance (51% des sondés, contre 40% l'année précédente), devançant les évolutions de marché (concurrence accrue, nouveaux entrants, fusions et acquisitions, etc.) et les changements réglementaires, numéro deux, mais cités par seulement 28% des sondés.
[Les 5 premiers risques cités dans les métiers de services financiers. Crédits : Allianz] L'assureur relève par ailleurs que le risque cyber peut être différent en fonction de la taille des entreprises
:
« Les petites entreprises peuvent être compromises si elles font l'objet d'une attaque par ransomware, tandis que les grandes entreprises sont généralement visées par des menaces d'une autre envergure, comme les attaques par déni de service, qui peuvent perturber gravement les systèmes », observe Emy Donavan. Mais la prise de conscience est là : "la sensibilisation aux cyber-risques dans les PME progresse, avec un saut important de la 6ème à la 2ème place pour les petites entreprises, et de la 3ème à la 1ère place pour les entreprises moyennes", souligne le baromètre.
Au troisième rang en 2017, le risque cyber est désormais numéro deux pour les entreprises dans le monde, juste derrière l'interruption d'activité mais loin devant les catastrophes naturelles ou les changements de marché tels que l'irruption de nouveaux entrants.
DATE-CHARGEMENT: 18 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
131 of 500 DOCUMENTS
Le Cercle
vendredi 19 janvier 2018
La RGPD et le cycle de vie des données
AUTEUR: Laurence Pitt
RUBRIQUE: ARTICLE; Collecter seulement ce qui est utile
LONGUEUR: 1073 mots
ENCART: Cet article vise à démentir l'idée selon laquelle le RGPD (Règlement général sur la protection des données) ou GDPR (en anglais) sera un poids pour les entreprises. Je veux aussi éviter à ces dernières de se fourvoyer en pensant que le seul intérêt de se conformer au règlement est d'éviter une amende.
Mais avant cela, permettez-moi une petite digression sur une autre de mes passions : les voitures. Juste pour que vous voyiez où je veux en venir. Pour que je puisse conduire en toute sécurité, plusieurs conditions doivent être réunies : d'une part, mon véhicule doit être en bon état et fréquemment révisé afin de respecter des normes de sécurité minimales. D'autre part, je dois suivre le Code de la route et adapter ma conduite aux conditions météorologiques. Enfin, les autres conducteurs doivent en faire autant. Pour moi, la liberté que m'offre le fait de suivre les règles contrebalance largement tout autre inconvénient. Cela résume à peu près mon sentiment vis-à-vis du RGPD. Il vise à renforcer les droits et les libertés des citoyens européens vis-à-vis de leurs données personnelles, mais aussi à normaliser les entreprises, ce qui leur permet finalement de gagner en efficacité.
Et après tout, nous ne partons pas de zéro. Il existe déjà plusieurs réglementations sur la protection des données qui, dans le cas des données personnelles des citoyens de l'UE, seront harmonisées par le RGPD. En France, la RGPD se situe ainsi dans le prolongement de la loi Informatique & Libertés. Si un client vous fait suffisamment confiance pour vous communiquer des données personnelles, le bon sens veut que vous cherchiez à protéger ces données. Le RGPD inscrira simplement cette pratique de bon sens dans un cadre légal. Cela signifiera sans doute plus de contrôle, mais je suis convaincu que les organes de réglementation adopteront une approche modérée. Pour filer notre métaphore automobile, un même accident peut donner lieu à différents montants d'amendes selon les circonstances atténuantes qui peuvent exister. Il en est de même dans le cadre de la RGPD.
D'ici à mai 2018 (date à laquelle le RGPD sera promulgué), les entreprises peuvent (et doivent) mettre beaucoup de choses en place. Pour moi, un bon point de départ est le concept de "protection des données dès la conception" (data protection by design). Ce dernier repose sur le principe de cycle de vie de l'information, et renvoie par là même à un questionnement fondamental sur les données : pourquoi sont-elles si importantes pour vous, quelles données devez-vous recueillir et comment devez-vous les exploiter ensuite ? Vous verrez de nombreuses variantes sur le cycle de vie des informations, mais il consiste pour moi en quatre phases : collecte, stockage et sécurisation, utilisation et élimination.
Collecter seulement ce qui est utile
Pour réussir, une entreprise a besoin de données de qualité. Cependant, face aux myriades d'informations disponibles, vous pouvez être tenté de collecter certaines données, juste parce que vous le pouvez. Vous devez donc déterminer celles qui sont réellement essentielles à votre activité et les fins auxquelles vous les collectez (la base juridique). Vous devez également obtenir le consentement de la personne concernée pour les acquérir, en lui indiquant clairement l'utilisation que vous comptez en faire. Par ailleurs, le stockage et la protection des données recueillies ont un coût ; à cet égard, il est donc logique de ne collecter que ce qui vous est réellement utile.
Stockage et sécurisation : attribuer une valeur aux données
Je ne soulignerai jamais assez à quel point il est important de déterminer les données que vous avez besoin de recueillir, les fins auxquelles elles sont collectées et la durée pendant laquelle vous allez les conserver. Vous devez non seulement savoir quelles données sont stockées, mais aussi où elles sont stockées à un instant t, ce qui peut être difficile dans un environnement regroupant plusieurs clouds publics et privés. Le RGPD vous permet toujours d'externaliser le stockage, mais pas votre responsabilité vis-à-vis de la sécurité des données gérées en votre nom, raison pour laquelle je pense utile d'attribuer une valeur indicative aux informations. Cette valeur théorique déterminera l'endroit où vous stockez des ensembles de données spécifiques, ainsi que le niveau de sécurité que vous leur attribuez. Vous pouvez ainsi mettre en place des contrats plus adaptés avec les tiers, mieux gérer vos dépenses et appliquer votre posture de sécurité plus efficacement.
Utilisation des données : par qui et par quoi ?
Aujourd'hui, la question n'est plus seulement de savoir par qui les données seront utilisées, mais aussi par quoi. Les entreprises sont des structures complexes et de nombreux services (service clientèle, facturation, ventes, marketing, ressources humaines, paies, formation) peuvent avoir des motifs légitimes pour collecter diverses données sur une même personne.
Vous devez donc connaître les implications de cette agrégation de données dans votre société, mais aussi chez vos fournisseurs. La base juridique invoquée pour l'utilisation des données doit déterminer les droits d'accès accordés, à savoir qui est autorisé à accéder aux données, et quelle utilisation chaque employé ou application peut en faire. Vous devez également mettre en place un système pour migrer les responsabilités relatives aux données à mesure que votre entreprise évolue.
Élimination des données : ont-elles bien disparu ?
À première vue, la dernière étape du cycle est la plus simple : un simple clic sur le bouton "Supprimer" et c'est bon. Hélas, comme souvent dans la vie, ce n'est pas aussi aisé que cela. La touche Supprimer n'efface pas forcément toute trace des données dans vos périphériques de stockage. Vous devez donc vous poser certaines questions lorsque vous décommissionnez vos serveurs, vos ordinateurs ou vos téléphones (en fait, tous les supports sur lesquels des données personnelles sont susceptibles d'être stockées). Par ailleurs, le recours à des fournisseurs externes ne vous permet pas de bénéficier du même degré de contrôle, et il est donc d'autant plus important d'intégrer proactivement ces questions dans la conception et la gestion de votre environnement.
Le cycle de vie des informations n'est en soi pas suffisant pour garantir votre conformité au RGPD, mais le fait de savoir où se trouvent vos données, et par qui ou par quoi elles sont utilisées (et pourquoi), ainsi que d'être certain qu'elles ont bien été éliminées, sert vos intérêts. La protection des données dès la conception vous permet de mettre en place des politiques et des processus logiques, de créer des programmes de formation utiles et, en fin de compte, de protéger les données plus efficacement.
DATE-CHARGEMENT: 22 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
132 of 500 DOCUMENTS
La Tribune.fr
Jeudi 18 Janvier 2018 6:00 AM CET
Le risque cyber, le 2ème le plus redouté par les entreprises
AUTEUR: Delphine Cuny
RUBRIQUE: ENTREPRISES & FINANCE; ASSURANCE
LONGUEUR: 907 mots
ENCART: Selon le baromètre mondial annuel d'Allianz, les risques liés aux piratages et pertes de données devancent ceux des catastrophes naturelles chez les entreprises. Dans la finance, ils sont désormais numéro un, devant les risques réglementaires ou les évolutions du marché.
L'année 2017 aura été marquée par plusieurs attaques informatiques majeures au retentissement mondial, notamment les rançongiciels (ransomware) WannaCry et Petya. Dans ce contexte, il peut paraître logique que les incidents "cyber", tels que les piratages, les défaillances informatiques et autres vols ou pertes de données, grimpent à la deuxième place des risques auxquels sont exposées les entreprises, selon le baromètre mondial 2018 de l'assureur Allianz. En un an, le risque cyber a grimpé de la 3ème à la 2ème place, devant les catastrophes naturelles, qui n'ont pourtant pas faibli l'an dernier (ouragans Harvey, Irma et Maria notamment): il est cité par 40% des sondés (plus de 1.900 clients, courtiers, consultants, spécialistes des risques dans 80 pays) et talonne désormais le risque d'interruption d'activité, liée par exemple à une rupture de la chaîne logistique, retenu par 42% des interrogés. Il y a cinq ans, les incidents cyber étaient nº 15 dans ce baromètre, relève Allianz.
« Pour la première fois, les interruptions d'activités et les incidents cyber sont au coude à coude dans le baromètre des risques d'Allianz, et ils sont de plus en plus interdépendants », analyse Chris Fischer Hirs, directeur général d'Allianz Global Corporate & Specialty (AGCS), la filiale d'assurance des grands risques industriels. « Qu'ils soient dus à des attaques comme celle de WannaCry, ou plus fréquemment aux défaillances de systèmes, les incidents cyber sont une cause majeure d'interruption d'activité pour les entreprises, toujours plus en réseau, dont les principaux actifs sont souvent les données, les plateformes de services ou encore leurs clients et leurs fournisseurs. »
Risque de "cyber ouragans" Peut-être parce que l'attaque sans précédent WannaCry a touché des entreprises françaises, dont Renault, le risque cyber est aussi pris très au sérieux en France : il est cité par 46% des sondés (contre 27% un an plus tôt), juste derrière l'interruption d'activité (47%).
[Les 10 risques les plus redoutés en France. Crédits : Allianz]
« À l'ère de l'Industrie 4.0, alors que les entreprises dépendent de plus en plus du numérique pour gérer leurs chaînes logistiques, elles doivent faire face à une nouvelle menace, l'interruption d'activité après une cyberattaque », relève Corinne Cipière, CEO d'AGCS France. Dans d'autres pays, la crainte est encore plus élevée. Dans la région Amériques, le risque cyber est même désormais n°1 (cité par 42% des sondés contre 31% un an auparavant). Idem en Australie, en Inde, à Singapour, et dans plusieurs pays européens: Autriche (70%), Royaume-Uni (60%), Belgique (43%).
[Les risques business les plus redoutés en Europe. Crédits Allianz]
« Le risque d'événements appelés "cyber ouragans", au cours desquels des hackers perturbent un grand nombre d'entreprises en visant leurs infrastructures communes, continuera d'augmenter en 2018 », pointe l'étude d'Allianz. Si le risque cyber dans son ensemble est « le risque le plus sous-estimé et le principal danger à long terme » selon l'assureur, les entreprises européennes auraient tendance à en minimiser certains aspects.
« Par rapport aux États-Unis, où la réglementation est déjà stricte, en Europe les entreprises sont moins sensibilisées aux risques pour la vie privée », estime Emy Donavan, directrice mondiale de l'assurance cyber chez AGCS. « Nombre d'entre elles comprendront vite, lorsque le RGPD [Règlement général sur la protection des données, qui entre en vigueur dans toute l'UE en mai prochain, ndlr] sera pleinement applicable, que les questions de confidentialité peuvent engendrer des coûts élevés. L'expérience a montré que la gestion d'une crise cyber telle qu'une intrusion a un impact direct sur les coûts, mais aussi sur la réputation et la valeur boursière d'une entreprise. Ce sera encore plus le cas avec l'application du RGPD. »
Alerte rouge dans la finance Plusieurs secteurs ont placé le risque cyber en tête de leurs préoccupations depuis quelques années, notamment ceux de la technologie elle-même (59%) et des télécoms (77% contre 60% un an plus tôt). Il est intéressant de noter qu'il a grimpé en flèche dans le secteur de la finance (51% des sondés, contre 40% l'année précédente), devançant les évolutions de marché (concurrence accrue, nouveaux entrants, fusions et acquisitions, etc.) et les changements réglementaires, numéro deux, mais cités par seulement 28% des sondés.
[Les 5 premiers risques cités dans les métiers de services financiers. Crédits : Allianz] L'assureur relève par ailleurs que le risque cyber peut être différent en fonction de la taille des entreprises
:
« Les petites entreprises peuvent être compromises si elles font l'objet d'une attaque par ransomware, tandis que les grandes entreprises sont généralement visées par des menaces d'une autre envergure, comme les attaques par déni de service, qui peuvent perturber gravement les systèmes », observe Emy Donavan. Mais la prise de conscience est là : "la sensibilisation aux cyber-risques dans les PME progresse, avec un saut important de la 6ème à la 2ème place pour les petites entreprises, et de la 3ème à la 1ère place pour les entreprises moyennes", souligne le baromètre.
Au troisième rang en 2017, le risque cyber est désormais numéro deux pour les entreprises dans le monde, juste derrière l'interruption d'activité mais loin devant les catastrophes naturelles ou les changements de marché tels que l'irruption de nouveaux entrants.
DATE-CHARGEMENT: 18 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
133 of 500 DOCUMENTS
Le Cercle
jeudi 18 janvier 2018
RGPD - Révision de la Gouvernance des Risques Numériques
AUTEUR: Pierre-Luc REFALO
RUBRIQUE: ARTICLE
LONGUEUR: 718 mots
ENCART: La transformation digitale d'une organisation ou d'une économie est porteuse de nombreux risques qu'il faut anticiper... Notamment parce que cette transformation est de plus en plus centrée sur les données, qui doivent impérativement être gérées et protégées selon une quadruple dimension : technologique, juridique, organisationnelle et culturelle.
La transformation digitale est porteuse de nombreux risques qu'il faut gérer et minimiser. Elle est aussi centrée sur la donnée dont la gestion et la protection s'inscrivent dans une logique juridique et technologique, mais aussi organisationnelle et culturelle. Elle est autant une aventure humaine que technologique.
Dans le domaine du risque, on distingue de plus en plus mal les principes anciens tels la sûreté (biens et personnes) et la sécurité (informatique et numérique), le matériel et l'immatériel, le physique et le logique. L'IA et la robotique en sont deux exemples flagrants. Enfin, le modèle d'organisation par "offre" (produits/services) et/ou "demande" (marchés/clients) est perturbé par la digitalisation, notamment en accélérant la liaison entre la R&D et la relation client. Le binaire est omniprésent, mais imparfait...
Le "binaire" atteint ses limites face à la complexité croissante et à la forte accélération apportées par le numérique. Le digital, et la donnée en particulier, rebattent les cartes. Ils introduisent le concept de "plate-forme" reposant sur le "réseau" et le "Cloud". Nous entrons dans une galaxie à 3 dimensions incarnées par le triptyque Digital, Data et Cloud.
Le RGPD revêt alors une opportunité unique pour revisiter comment peuvent être abordées les questions de responsabilités et de compétences dans ce modèle tridimensionnel. Il peut aussi devenir un véritable catalyseur de refondation de la gouvernance des risques numériques. Le RGPD introduit formellement 3 niveaux d'intervention :
· Responsable de traitement (avec Sous-traitant et Délégué à la Protection des données)
· Personne concernée
· Autorité de contrôle
De nombreux éléments sont déjà mis en place, mais doivent encore être précisés ou se renforcer. La notion de "propriétaire des données" n'a d'ailleurs pas été définie. Utopie ? Les nouveaux droits pour les personnes concernées et la responsabilité sont des points clés du RGPD. Mais comment accompagner et contrôler effectivement les acteurs du numérique et du Cloud en particulier ? Les labels et la certification devraient se développer fortement, mais ce ne sera pas simple face à la "volatilité" des données et le poids des GAFAM.
Le Délégué à la Protection des Données (DPD) est requis si : "le traitement est effectué par une autorité publique ou un organisme public" et pour des activités qui exigent "un suivi régulier et systématique à grande échelle des personnes concernées". Ses activités sont a minima : "a) informer et conseiller, contrôler le respect du règlement... y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel, dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci..., coopérer avec l'autorité de contrôle ; il tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement."
Cette fonction ressemble beaucoup au RSSI, apparu dans les années 90 et qui opère dans un contexte différent, généralement plus technique et opérationnel, et désormais fortement influencée par le digital et le Cloud. Ce RSSI là, opérationnel, deviendra parfois un Responsable de la Sécurité du Cloud et des Infrastructures (RSCI). DPD et RSCI remplaceront les CIL et RSSI d'hier. Et ils devront acquérir une légitimité plus forte hors de leur champ de compétence (juridique ou technologique).
Le binôme DPD et RSCI ne pourra rien si on ne ferme pas le triangle avec une fonction de "Responsable des Risques Numériques" au coeur de la transformation digitale et centrée sur les processus et activités "métier". Il représente le chaînon manquant de la gestion des risques numériques complété par les piliers "conformité" (normes et réglementations) et "sécurité" (technologies et solutions). Dans certains cas, on peut imaginer un pilotage commun (union des forces) rapprochant des activités encore trop cloisonnées et peu communicantes.
Ce modèle d'évolution est-il une utopie ou une illusion ? Pas si sûr dès lors qu'on accepte l'idée que l'enjeu majeur de la transformation numérique et de la protection des données est aussi de rassembler ce qui est épars (pillé) !
DATE-CHARGEMENT: 19 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
134 of 500 DOCUMENTS
Stratégies
18 janvier 2018
Edition 1;
National Edition
Le RGPD en deux clics;
DATA La start-up Smart GDPR veut simplifier la mise en conformité des entreprises vis-à-vis du rÈglement européen sur la protection des données (RGPD).
AUTEUR: EMMANUEL GAVARD
RUBRIQUE: BUSINESS / CULTURE TECH; Pg. 27
LONGUEUR: 660 mots
On dit souvent que les contraintes sont des opportunités. Le nouveau rÈglement européen sur la protection des données (RGPD) ne fait pas exception. Pour Olivier Guillo et Benoit Guignard, les fondateurs de Smart GDPR, ce millefeuille réglementaire est à l'origine d'une nouvelle société. Déjà patrons d'une plateforme d'affiliation et d'une place de marché de données clients, ils ont dû s'attaquer au sujet assez tôt et se sont rendu compte de la taille du défi... Aussi ont-ils compris que les entreprises n'allaient pas s'y mettre tout de suite : « Pour beaucoup, c'est un vrai mur. Elles ne savent pas par où commencer. Nous avons voulu rendre cela trÈs pratique, et ne pas avoir d'approche trop technique.
» Ils ont alors monté Smart GDPR. Le principe est simple : une plateforme en ligne par abonnement. « L'objectif était de mettre en place une solution clé en main », affirme-Olivier Guillo. Le seul effort ? Répondre à un questionnaire, pour établir un diagnostic de ce qu'il y a à faire. « Notre solution est basée sur un algorithme, qui adapte le questionnaire, et ne va poser des questions qu'en fonction des réponses précédentes », détaille-til. Et donc réduit considérablement le nombre de champs à remplir... Les six premiers mois sont offerts, jusqu'à la mise en place de la loi.
UN PARTENARIAT AVEC 120 AVOCATS.Car Smart GDPR, via différents packages, répond à plusieurs impératifs. Grâce à un partenariat avec 120 avocats européens, elle permet de désigner rapidement un délégué à la protection des données [DPO], obligatoire à partir de l'application du rÈglement. Il sera en charge de la conformité de l'entreprise et alertera la direction en cas de manquement. L'inscription à Smart GDPR atteste également que l'entreprise est dans une démarche de mise en conformité. Un fait important auprÈs des organismes de contrôle [Cnil]. S'ensuit alors le processus d'audit et de mise en conformité de l'entreprise (cartographie des données, établissement des procédures...). Ses offres incluent des assurances en cas de problÈme. « Cela ne veut pas dire que c'est facile pour l'entreprise, mais nous prenons les choses en main pour travailler avec elle, et régler les détails les plus complexes. Ensuite, nous avons un tableau de bord qui permet de suivre le processus de mise en conformité, et un systÈme d'alerte lorsque la loi change », explique-t-il. Un sujet porteur, à n'en pas douter. ?
FACEBOOK SIGNE AVEC SONY POUR UTILISER SES MUSIQUES APRÈS AVOIR SIGNÉ AVEC UNIVERSAL, le réseau social Facebook a signé un accord de partenariat avec Sony/ ATV Music pour l'utilisation des musiques dont il gÈre les droits. Ainsi, les socionautes pourront intégrer dans leurs vidéos les quelque trois millions de musiques gérées par la maison d'édition musicale. À ce jour, les vidéos qui comportaient de tels morceaux étaient retirées pour des questions de droits d'auteur. Les modalités de l'accord n'ont pas été rendues publiques.
Le mot de la semaine Data steward Personne en charge de la gouvernance de la donnée dans une organisation, qui coordonne et administre le datalake. Elle est donc garante de sa qualité, de sa fraîcheur, évite les doublons de données, s'assure de sa fiabilité ainsi que de celle des prestataires.
Amazon Publisher Service lance son service de header bidding en Europe APS, LA DIVISION PUBLICITAIRE DIGITALE D'AMAZON, sort son service de header bidding en Europe (mise en concurrence de plusieurs SSP) pour les achats programmatiques. Intitulé Transparent Ad Marketplace, le service ne demande qu'une seule intégration dans les systÈmes, tout se fait en cloud.
Création d'un nouveau fonds sino-français APRÈS SINO FRENCH (MIDCAP) FUND, la France et la Chine lancent un deuxiÈme fonds d'investissement commun, Sino French Midcap II.
Il bénéficiera de 1,7 milliards d'euros pour investir dans des entreprises de taille intermédiaire à fort potentiel de croissance, et de développement à l'international, principalement en Chine et en France.
DATE-CHARGEMENT: January 18, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: OLIVIER GUILLO, cofondateur de Smart GDPR.© Getty Images
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
135 of 500 DOCUMENTS
Challenges.fr
mercredi 17 janvier 2018 4:05 PM GMT
Alerte, l'Europe tourne le dos à l'innovation
AUTEUR: Challenges
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 999 mots
ENCART: Matthieu Courtecuisse est le fondateur de Sia Partners, lun des principaux cabinets de conseil français. Selon lui lEurope, avec la directive RGPD, tourne le dos à linnovation.
2018 sera-t-il le 1525 européen ? Aux 14ième et 15ième siècles, la marine chinoise dominait le monde, atteignant son apogée sous limpulsion du grand explorateur Zheng He. Un siècle après sa mort, la dynastie Ming plongeait dans un déclin inexorable en décidant de détruire la flotte qui lui restait pour se concentrer sur le contrôle des terres. Jianjing, empereur désinvolte, donna lestocade, en confiant tous les pouvoirs aux eunuques : forts de leur puissance technocratique, ils crurent avisés denterrer toute velléité de conquête maritime. Cette décision accélérera la montée en puissance de lEurope et de lOccident et installera leur suprématie pendant près de cinq siècles.
Sommes-nous donc, comme en 1525 pour la Chine, à ce moment où lEurope va tourner le dos à une nouvelle ère dinnovation ? Comme lempire chinois déclinant voulait interdire à ses marchands de commercer avec le monde, les régulateurs européens veulent règlementer les data et freiner lintelligence artificielle. Alors même que nous nen sommes quà son émergence, ils jouent sur les peurs et lignorance collectives autour de lintelligence artificielle.
Cela ne sarrêtera pas à la RGPD
En mai prochain, lUnion européenne mettra en oeuvre une nouvelle norme autour de la protection des données, RGPD - ou GDPR. Mais ce ne sera quune première étape. Les régulateurs européens avancent sans masque : après la protection des données, il faudra encadrer lintelligence artificielle ou plutôt ce quils mettent sous le mot-valise dalgorithmes, notion quil faudra dailleurs définir juridiquement. Les hauts-fonctionnaires européens et nationaux - rarement des scientifiques - veulent par un cadre très contraint limiter la constitution et laccès aux Océans de Données (les Data Lakes). En France, Cédric Villani a été mandaté par le gouvernement pour livrer un rapport et des recommandations dici fin Janvier. Il est important que, grâce à lui, la France fasse entendre une voix qui soit celle de linnovation et de louverture.
Loin de moi lidée que les utilisations actuelles et futures de lIA sont sans effets indésirables. Il y a déjà un très net déséquilibre entre le producteur de données lambda - le citoyen, notamment dans sa posture de consommateur - et les grands groupes de lInternet qui captent de façon outrageante la valeur qui en est tirée. Il y a aussi un pouvoir démesuré de ces mêmes groupes qui peuvent abuser de leur position dominante, comme la rappelé récemment la Commissaire Verstager chargée de la concurrence. Mais le prix à payer dune surrèglementation serait lourd : brider un pan dinnovation qui sannonce décisif pour les prochaines décennies.
Car lintelligence artificielle a un parcours dévolution très différent dautres ruptures technologiques. Elle procède totalement du secteur privé et na aucunement besoin de lappui des Etats pour se développer. Elle contourne les contrôles étatiques dépourvus de compétences techniques sur ces sujets. On imagine la frustration des technocrates de voir se développer la reconnaissance faciale de Facebook via DeepFace, capable de tagger nimporte quel visage sur une photo chargée alors quaucun Etat, même la Chine, natteint le même niveau technologique. Dailleurs, DeepFace nest pas déployé en Europe - dommage pour les forces de police dans un contexte de risque terroriste élevé.
Le développement de lIA a en revanche une double contrainte. Elle doit dabord pouvoir se nourrir de toujours plus de données, sans cesse renouvelées. Et elle fonde ses analyses sur les corrélations et non plus sur la causalité explicite dune décision. Cest précisément sur ces deux points que les régulateurs ont décidé de frapper. En premier lieu avec la RGPD via le principe du consentement. Et maintenant, ils envisagent de documenter les algorithmes et les méthodes de prise de décision. Par exemple, Amazon devrait expliquer pourquoi son assistant vocal Alexa privilégie lachat automatique de telle ou telle marque de lames de rasoir en fonction de vos habitudes dachats alimentaires ou vestimentaires. Ce qui est impossible !
Machine a réguler
La machine européenne à réguler semble être inarrêtable. Pourtant, rien ne serait pire que des normes contraignantes de facto impossibles à monitorer. Les régulateurs pâtissent dune pauvreté de moyens, qui les empêchent de mettre en place des cadres subtils et dosés. Chacun devrait garder en mémoire laffaire du Dieselgate : le régulateur européen a élaboré un cadre réglementaire par le biais de seuils de g/co2 par km parcouru quil était incapable de monitorer au-delà du simple contrôle du poids des véhicules.
Avoir le cadre réglementaire le plus strict, et même extraterritorial comme lest RGPD, va gripper la machine. Or, classement après classement, la réalité européenne saute aux yeux : linnovation y recule nettement face aux autres blocs économiques mondiaux. Pourquoi ajouter de nouveaux fardeaux à des écosystèmes européens de moins en moins compétitifs, alors que lHistoire saccélère ? Bon nombre dentreprises globales, européennes ou non, ont déjà décidé de déprioriser pour leurs recherches en Europe, de peur de voir cette trajectoire funeste prendre forme.
Toute régulation est toujours le fruit dun arbitrage complexe entre protection et innovation. Il faut inventer des cadres adaptés. La régulation devra dabord se construire par secteur, avec des régulateurs spécialisés, et non par des acteur généralistes (comme la CNIL en France). Lavènement de la toute-puissance de lIntelligence Artificielle Générale nest pas pour demain, ni même après-demain. Pour commencer, il y a urgence à réorienter le débat sur lanalyse concurrentielle : le partage de la valeur entre le client et lexploitant de la donnée, les monopoles concurrentiels, lextension de lopen data à des activités privées. Espérons que Cédric Villani arrivera à convaincre le gouvernement français quavancer trop vite et trop fort sur un cadre de régulation de lIA nous amènerait au même résultat que la décision tragique des Ming en 1525.
DATE-CHARGEMENT: January 18, 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2018 Challenges
tous droits réservés
136 of 500 DOCUMENTS
Sud Ouest
Mercredi 17 Janvier 2018
TOUTES EDITION
Internet : vers la revanc he de la vie privée ?;
DONNÉES PERSONNELLES Jusqu ici, la protection sur la Toile des informations personnelles relevait plutôt du problème de l internaute
RUBRIQUE: LE FAIT DU JOUR; Pg. 2
LONGUEUR: 746 mots
ENCART: Un nouveau règlement européen pourrait tout changer en mai
PASCAL RABILLER
C est bien pratique, il faut le reconnaître, de renseigner une fois pour toutes ses coordonnées bancaires sur un site marchand. C est tellement plus facile de cocher " J ai bien lu les conditions " sans les lire quand on veut installer un nouveau système d exploitation ou booster les outils de recherche du mobile, du PC ou de la tablette en surfant sur le Wi-Fi public. Souvent, nous sacrifions la maîtrise minimale de nos données, voire de notre sécurité, sur l autel de l économie de notre consommation d énergie et de forfait, parfois par paresse. La plupart du temps, c est d abord pour gagner du temps que nous sommes laxistes sur le sujet. Et ce temps que nous ne voulons pas sacrifier, de très nombreuses entreprises qui nous fournissent des services ou des produits, le transforment en argent.
L argent des données personnelles est devenu un des principaux modèles économiques de beaucoup d acteurs de la Toile. À commencer par les géants américains ou chinois du Net, qui disposent des habitudes de " clics " et de consommation, des centres d intérêt et des déplacements géolocalisés de milliards d internautes. Nos données ont un prix, entre 10 centimes et 1 euro, en fonction du nombre d informations personnelles fournies (âge, lieu de résidence, sexe, situation familiale, adresse IP ) en plus du seul mail. C est souvent à notre corps défendant que nous livrons certains des moments de notre vie privée au plus grand nombre, et pas juste à nos amis. Tout ce qui a été publié un jour, même effacé par la suite, continue de vivre dans les coulisses des réseaux sociaux et constitue, pour les as de la recherche, notre véritable identité numérique.
Algorithmes et mégadonnées
Quel internaute sait que quand il pousse les portes virtuelles d un magasin comme Cdiscount ou Amazon, il est accompagné, tout aussi virtuellement, de dizaines de logiciels espions " vendeurs " d autres boutiques concurrentes, qui analysent ses recherches, ses centres d intérêt, et qui, ô miracle, proposent un bien ou service du même acabit ? Pas de magie en réalité, mais des algorithmes et des analyses de mégadonnées. Ces derniers se basant sur des informations que nous avons soit dévoilées volontairement, soit, et c est plus généralement le cas, parce que nous n avions pas la maîtrise des outils qui nous permettent de dire stop. Ceux-ci existent pourtant, puisque les utilisations de données informatiques sont encadrées en France depuis le 6 janvier 1978 et en Europe depuis 1995.
Certes, la protection de nos données nous appartient encore, elle est relative à nos comportements, mais, à partir du 25 mai prochain, demain donc, nous, e-consommateurs européens, allons indirectement disposer d un outil qui va nous permettre, à tout moment, d accéder aux données personnelles que les acteurs détiennent. Le Règlement général pour la protection des données (RGPD) va ainsi harmoniser la gestion des informations personnelles dans l ensemble des pays de l Union européenne.
La donnée, source de revenu ?
Il concerne l ensemble des acteurs présents sur le Net, organismes publics, associations, entreprises européennes, mais aussi des sociétés dont le siège est hors de l Union européenne et qui traitent de données relatives à des citoyens de celle-ci. À partir de mai 2018, nous aurons tous plus de visibilité et de contrôle sur nos données personnelles. Depuis l annonce du calendrier, c est le branle-bas de combat du côté des acteurs, qui doivent savoir en permanence quelles informations ils détiennent et, surtout, savoir les transmettre sur simple demande.
Le RGPD (ou GDPR, en anglais) est une manne pour les entreprises de services numériques, de conseils et les cabinets d avocats qui doivent aider les acteurs concernés à se mettre en conformité. On parle ici d un marché à 4,3 milliards d euros entre la période 2017 et 2021. Ce contrôle plus aisé de nos données pourrait avoir un impact sur la commercialisation de celles-ci par les internautes aux sociétés qui les utilisent pour générer des revenus publicitaires. Lancée par le philosophe Gaspard Koenig, cette idée n a pas été trop mal accueillie par les acteurs d Internet. De là à dire qu une autre révolution de la donnée personnelle, mieux contrôlée cette fois, est en cours
L argent des données personnelles est devenu un des principaux modèles économiques de beaucoup d acteurs du Net
C est souvent à notre corps défendant que nous livrons certains des moments de notre vie privée au plus grand nombre
DATE-CHARGEMENT: 16 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Les utilisations de données informatiques sont encadrées en France depuis le 6 janvier 1978 et en Europe depuis 1995. PHOTO ILLUSTRATION THIERRY DAVID/" SUD OUEST "
TYPE-PUBLICATION: Journal
Copyright 2018 Sud Ouest
Tous droits réservés
137 of 500 DOCUMENTS
Sud Ouest
Mercredi 17 Janvier 2018
TOUTES EDITION
Et si Google avait des raisons d avoir peur du français Qwant ?
RUBRIQUE: LE FAIT DU JOUR; Pg. 3
LONGUEUR: 540 mots
ENCART: STRATÉGIE Le moteur de recherche français Qwant est un pionnier de la protection des données
" Quand nous nous sommes lancés, en 2010, beaucoup nous disaient que notre militantisme ne servait à rien, que nous n y arriverions pas " Éric Léandri est un militant un peu particulier. Son engagement est celui d un geek, qui a décidé, au moment où Google devenait ce qu il est aujourd hui un " aspirateur " à données personnelles qu il transforme en machines à cash tous azimuts , de prendre le contre-pied avec un moteur de recherche respectueux de la vie privée de ses utilisateurs.
Qwant, seul au monde ?
Il est, avec quatre autres ingénieurs informaticiens, à l origine de Qwant, le seul moteur de recherche européen qui garantit la non-exploitation des données personnelles. " Peut-être même le seul au monde, car, si aux États-Unis, un autre acteur, DuckDuckGo, assure être sur la même longueur d onde que nous, il s agit en fait d un métamoteur de recherche. C est-à-dire qu il est un intermédiaire entre les internautes et les moteurs de recherche du marché. Et puis, dans un environnement juridique qui est quand même beaucoup plus laxiste que le nôtre, je ne suis pas certain que nous ayons la même notion du respect des données personnelles ", glisse le dirigeant.
Si au moment de sa création, Qwant semblait pour beaucoup à contre-courant des tendances, les vents sont en train de tourner. " Pendant longtemps, tout le monde se moquait du respect des données personnelles. On avait confiance quand on nous disait que c était avec nos données que les services s amélioraient. Et on nous garantissait la sécurité Le futur règlement général sur la protection des données, le RGPD, et les nombreux problèmes de protection des données personnelles des internautes qui ont émaillé l actualité ces dernières années, font de ce thème un vrai sujet de société. Il nous rend, tout d un coup, très tendance ", constate Éric Léandri, qui a été de la délégation française qui a accompagné le président Emmanuel Macron en Chine, la semaine dernière.
" Le Google d avant 2010 "
Les chiffres d utilisation de Qwant lui donnent raison. Le moteur de recherche compte désormais chaque mois plus de 52 millions de requêtes. Un chiffre qui plafonnait à 1 million en 2014 et qui est actuellement en croissance de 10 à 20 % chaque mois. En quelques semaines, les équipes de Qwant réparties entre Nice, Milan, Paris, Berlin et bientôt la Chine sont passées de 50 à 140 collaborateurs. Dont près d une vingtaine se consacre uniquement au sujet du respect des données personnelles des utilisateurs.
Éric Léandri réagit instantanément quand on lui pose la question d une éventuelle incompatibilité entre la " philosophie " de Qwant et le business. " C est faux ! Avant 2010, Google n exploitait pas les données personnelles comme c est le cas aujourd hui. Pourtant, il faisait déjà 40 milliards de dollars de chiffre d affaires ! Qwant, c est le Google d avant 2010 ", assure Éric Léandri. Ce " Google d avant " devrait, lui, réaliser 10 millions de chiffre d affaires cette année, ce qui lui permettra d atteindre l équilibre financier. Selon l Ifop, Qwant accueille actuellement 4 % des recherches en France. S il n y a que huit moteurs de recherche dans le monde, le français veut devenir la référence dans le domaine de la protection des données.
P. R.
DATE-CHARGEMENT: 16 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Éric Léandri, fondateur et dirigeant de Qwant. PHOTO DR
TYPE-PUBLICATION: Journal
Copyright 2018 Sud Ouest
Tous droits réservés
138 of 500 DOCUMENTS
Le Cercle
mardi 16 janvier 2018
CES 2018 : quand les objets se mettent à parler
AUTEUR: Dr Rand Hindi
RUBRIQUE: ARTICLE
LONGUEUR: 685 mots
ENCART: L'assistant vocal d'Amazon, Alexa, est un carton. Le Echo Dot est même devenu le produit le plus vendu sur Amazon à Noël 2017. Google investit fortement dans ce secteur, allant jusqu'à dépenser plus de 11M de dollars pour promouvoir son assistant vocal lors du CES 2018. Et ce n'est qu'une question de mois avant que Apple et Facebook ne lancent à leur tour leur propre enceinte vocale.
La stratégie des GAFA, pour changer, est de "plateformiser" leurs assistants vocaux afin qu'ils deviennent le moteur d'intelligence artificielle dans tous les objets de notre quotidien, mais aussi le seul point d'entrée. Ils dépensent des fortunes pour attirer les startups et grandes entreprises, que ce soient des fabricants d'objets pour la maison (télé, machine à café...) ou de voitures. Alors que les produits d'Amazon et de Google étaient les stars du CES 2017, en 2018 ce fut les entreprises intégrants leurs technologies qui ont fait le buzz.
Il y a néanmoins un énorme problème : en intégrant les assistants de Amazon ou Google, ces entreprises se font tout simplement intermédier. En plus de perdre le contrôle de leur marque en obligeant leurs utilisateurs à déclencher l'assistant vocal en disant "Alexa" ou "OK Google", ils "forfaitent" leurs données utilisateurs, que ce soit ce qu'ils disent ou ce qu'ils font.
Ce faisant, les entreprises européennes deviennent de simples tuyaux pour les géants américains, accélérant leur colonisation numérique en leur fournissant encore plus de données. Les fabricants d'objets se retrouvent cantonnés à vendre leur produit pour une marge ridicule, alors que les GAFAs se gavent sur leur dos. Ce n'est qu'une question de temps avant que votre four ne vous oblige à écouter une publicité avant de cuire votre poulet !
Par ailleurs, le nouveau règlement européen sur les données personnelles, le RGPD, est sans équivoque : pour être dans la légalité, il faut avoir le consentement des utilisateurs avant de pouvoir traiter leurs données. Or, la voix est une donnée biométrique, et donc identifiante au même titre que les empreintes digitales. En théorie, chaque personne susceptible d'être enregistrée devrait donner son consentement, ce qui pose un vrai problème d'expérience utilisateur pour les produits intégrant un assistant vocal. Imaginez faire un diner chez vous et devoir demander à chacun de vos invités de donner son consentement à votre lampe, car elle intègre l'assistant vocal d'Amazon !
Au-delà de l'aspect légal, il y a aussi une forte problématique de vie privée pour les utilisateurs. Il s'avère (surprise !) que personne n'aime se faire écouter dans sa maison. Même aux États unis, pays pourtant plus laxiste sur ces questions, plus de 48 % des consommateurs se disent inquiets de la façon dont les enceintes intelligentes traitent leurs données. En France, la CNIL a récemment publié un avis dénonçant les risques de ces objets, et préconisant de les éteindre lorsqu'ils ne sont pas utilisés !
Il y a heureusement une solution simple : ne pas récupérer la donnée en premier lieu. En effet, plutôt que d'envoyer la voix des utilisateurs dans le Cloud, pourquoi ne pas simplement la traiter localement sur l'objet avec lequel ils sont en train de parler ? Après tout, nous avons aujourd'hui des technologies permettant de faire tourner des assistants vocaux sur des ordinateurs à 5 (EURO), donc pourquoi pas sur des objets à 100 (EURO) ? Cela permettrait d'éviter les problèmes de consentement et de garantir leur vie privée aux utilisateurs, un concept que l'on appelle le "Privacy by Design". Et en rendant ces technologies accessibles en marque blanche, on redonne le contrôle total de l'utilisateur à l'entreprise qui fabrique l'objet. Plutôt que de se faire intermédier par les GAFAs, on décentralise en faisant profiter notre propre écosystème !
Après la décennie du smartphone que nous avons globalement raté en Europe en tant qu'acteurs économiques, ce sont les assistants vocaux qui sont en passe de devenir les nouvelles plateformes de consommation pour la décennie qui commence et au-delà. Et les GAFAs sont en marche pour prendre le contrôle de nos voix, de nos maisons et de nos vies. Il ne faut pas se laisser faire, il faut impérativement promouvoir les solutions vocales européennes, celles qui sont alignées avec notre conviction fondamentale du respect de la vie privée ! Ne perdons pas de temps, c'est aujourd'hui une question de souveraineté numérique, souveraineté des marques, et souveraineté des citoyens français et européens.
DATE-CHARGEMENT: 17 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
139 of 500 DOCUMENTS
Le Cercle
mardi 16 janvier 2018
Données personnelles : établir un contrat de confiance entre utilisateurs et entreprises
AUTEUR: Olivier Dion
RUBRIQUE: ARTICLE; Reprendre le contrôle
LONGUEUR: 643 mots
ENCART: LE CERCLE/POINT DE VUE - Le futur règlement européen est un bon outil pour rassurer les utilisateurs sur l'utilisation de leurs données personnelles par les entreprises.
Quand 72 % des Français sont inquiets pour la confidentialité et l'utilisation de leurs données personnelles (sondage BVA pour «Le Figaro», octobre 2017), la refonte des règles du jeu instaurée par le Règlement général sur la protection des données (RGPD) est une bonne nouvelle, autant pour les droits de l'ensemble des citoyens de l'Union européenne que pour les affaires.
Les nouveaux services s'inventent par le web, rendus possibles par des plates-formes, des relais et des capteurs sans cesse plus nombreux et perfectionnés. Les données personnelles collectées par les opérateurs alimentent une automatisation formidable qui pousse toujours plus loin la personnalisation des services.
Mais la société civile ne s'y retrouve plus. La mise au jour d'usages très libres des données clientèles par certaines entreprises et le peu de maîtrise et même de connaissance qu'ils en ont, ont rendu de nombreux internautes et consommateurs potentiels très méfiants à confier leurs informations et à fortiori, essayer de nouveaux services.
Reprendre le contrôle
Avec le RGPD, l'Union européenne affirme que l'individu doit avoir la connaissance et le contrôle de ce qui est fait de ses données personnelles. Sur simple demande d'un utilisateur, une entreprise devra lui transférer l'ensemble des données qu'elle a collectées sur lui, dans un format qui permette leur réutilisation, aux usages de son choix et particulièrement pour optimiser ses autres services.
Exemples : l'assureur reçoit automatiquement toutes les informations sur les biens électroniques achetés. La liste des achats alimentaires et des données de course à pied est transférée nutritionniste. Les informations d'achat complètent directement les relevés de compte bancaire. Le transfert des données de contact d'une marque de téléphone à l'autre est facilité.
Lire aussi : Données personnelles : l'Europe ne doit pas se tromper de guerre
Les progrès technologiques ont rendu applicable un tel droit, qui implique la gestion d'autant de flux d'informations que chacun utilise de services. Une tâche qui serait virtuellement impossible pour la majeure des internautes sans outil spécialisé.
Les systèmes de gestion des informations personnelles (appelés «PIMS», en anglais) centralisent dans le cloud le contrôle des données personnelles. Un tableau de bord donne le détail et la nature des échanges d'informations avec les opérateurs et la possibilité de les suspendre. On active de nouveaux flux en quelques clics sur les pages dédiées aux transferts sur les sites des entreprises.
De nouvelles règles au profit de tous
Les appels et les courriels non-sollicités, la revente des données clientèles à des tiers, la sécurité informatique défaillante... certaines pratiques et événement agissant comme un repoussoir sont devenues un réel frein à l'innovation et à l'entrée de nouveaux acteurs.
Retrouver la confiance des utilisateurs et s'assurer de leur coopération est essentiel alors que nous ne sommes qu'au début du web de la donnée. Les internautes ont soif d'innovations et sont prêts à investir massivement de nouveaux usages, pour peu qu'on ne leur force pas la main ou que quelques informations données à un opérateur peu délicat ne provoque des cascades d'offres publicitaires sans rapport de ses partenaires et autres pratiques invasives.
Le RGPD établit des règles qui feront de l'Internet de demain un espace plus éthique et plus efficace. En leur donnant un contrôle conscient sur l'usage de leurs données, l'UE replace l'individu au centre et en fait l'acteur principal de l'innovation.
Olivier Dion est le dirigeant et le fondateur de Onecub
Pour en savoir plus sur le RGPD :
> RGPD : avantages et inconvénients pour les investisseurs
> RGPD : 5 changements majeurs pour les entreprises
> Ce que le RGPD va changer pour les professionnels du marketing
> RGPD : entreprises, ce qui vous attend
DATE-CHARGEMENT: 17 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
140 of 500 DOCUMENTS
Ouest-France
mardi 16 janvier 2018
LONGUEUR: 946 mots
Annoncez gratuitement vos événements sur :www.infolocale.fr
Spectacles, concerts
Électro-pop. Talisco et Inüit
Les chansons de Talisco sont des pépites de pop lumineuse que cet alchimiste façonne et agrémente de ce qu'il faut de folk et d'électro pour en faire de l'or pour les oreilles. Il partagera la scène avec les six Nantais réunis dans le projet Inüit.
Vendredi 19 janvier, 20 h 30, à La Nouvelle-Vague, rue des Acadiens. Tarifs : 14 €, réduit 11 €, abonnés, 8 € et guichet, 16 €. Contact et réservation : 02 99 19 00 20, lanouvellevague.org
Tradior
Théâtre. La Culture dans tous ses quartiers. Spectacle en gallo, interprété par Jean-Luc Oger et Marie-Brigitte Bertrand. Entrée limitée à la capacité d'accueil de la salle (pas de réservation). Organisé par le Comité de quartier Marne-Eveil et Ville de Saint-Malo.
Vendredi 19 janvier, 20 h 15, à la maison de quartier Marne-Éveil, 44, rue Monsieur-Vincent. Gratuit. Contact : 02 99 40 58 72.
Voir, visiter
Émission radio
Multimédia. Cette semaine, dans Histoire et Patrimoine du Pays de Dinard, Marc Bonnel, président de l'association Histoire et Patrimoine en Pays de Dinard, Rance-Côte d'Émeraude. Anne de Tourville, écrivain et peintre.
Mercredi 17 janvier, 19 h 40, samedi 20 janvier, 18 h 40, dimanche 21 janvier, 14 h 30, radio Parole de Vie, 100,5 MHz. Contact : 02 99 19 53 53, info@radio-paroledevie.com
Raphaëlle Péria, Degrés de paysages
Exposition. L'artiste ne définit pas son travail comme relevant de la photographie mais de la gravure ou du dessin. La photographie n'est qu'une étape, qu'un support pour atteindre la justesse du souvenir. La surface est grattée, gravée au scalpel, au grattoir ou à l'aide d'une fraise de dentiste.
Du mercredi 17 janvier au vendredi 16 février, 10 h à 18 h, 7, rue de Bonneville. Gratuit. Contact et réservation : 02 99 56 22 30, amap.saint-malo@wanadoo.fr, http://facebook.com/academiedartsplastiques.stmalo
Drones, machines des airs
Conférence.
Jeudi 15 février, 19 h à 20 h 30, la Cambuzz, 1, rue Théodore-Monod. Gratuit. Contact et réservation : 02 23 52 59 54, mathilde@digital-saint-malo.com
Règlement européen sur la protection des données (RGPD)
Conférence.
Jeudi 15 mars, 19 h à 20 h 30, la Cambuzz, 1, rue Théodore-Monod. Gratuit. Contact et réservation : 02 23 52 59 54, contact@digital-saint-malo.com, http://www.digital-saint-malo.com
Masterclass, Design Thinking, comment penser l'innovation
Conférence.
Jeudi 12 avril, 19 h à 21 h 30, la Cambuzz, 1, rue Théodore-Monod. Gratuit. Contact et réservation : 02 23 52 59 54, contact@digital-saint-malo.com, http://www.digital-saint-malo.com
Loisirs, sports
Piscine du Naye
Petit bassin, de 17 h à 20 h 45 et grand bassin, de 16 h 15 à 20 h 45.
Mardi 16 janvier, rue Georges-Clemenceau. Contact : 02 99 81 61 98, piscine@ville-saint-malo.fr
Scrabble Intra-Muros
Un jeu pour tous et toutes.
Mercredi 17 janvier, 14 h 30, à la maison du Cavalier, 4, place du Québec. Gratuit. Contact : 06 07 54 03 22, fr.caradec@gmail.com
1er repair café
Organisé par un collectif d'habitants, le repair café est un atelier consacré à la réparation de petits objets. Les objectifs de cette démarche alternative sont divers, réduire les déchets et préserver l'art de réparer.
Samedi 27 janvier, 14 h 30 à 18 h, la Cambuzz, 1, rue Théodore-Monod. Gratuit. Contact et réservation : 02 23 52 59 54, contact@digital-saint-malo.com, http://www.digital-saint-malo.com
Coffee et biz. Traiter et prévenir les impayés
Vous êtes indépendant, freelance, entrepreneur. Vous travaillez dur mais quelques clients mauvais payeurs peuvent mettre votre structure en difficultés. Nous vous proposons de participer à un atelier pratique d'aide pour récupérer votre argent dans le cas où un client ne vous aurait pas payé.
Jeudi 8 février, 8 h 30 à 10 h, la Cambuzz, 1, rue Théodore-Monod. Tarifs : 8 €, gratuit pour les adhérents. Contact et réservation : 02 23 52 59 54, contact@digital-saint-malo.com, http://www.digital-saint-malo.com
Coffee et biz, entrepreneur, comment choisir son statut ?
En partenariat avec Femme de Bretagne. Atelier gratuit pour les adhérents de Digital Saint-Malo et les membres d'Élan Créateur. Sur participation financière de 8 € pour les personnes extérieures.
Mardi 17 avril, 8 h 30 à 10 h 30, la Cambuzz, 1, rue Théodore-Monod. Tarifs : 8 €, gratuit pour les adhérents, petit-déjeuner compris. Contact et réservation : 02 23 52 59 54, contact@digital-saint-malo.com, http://www.digital-saint-malo.com
Réunions, formations
Alcool assistance, groupe de parole
Accueil de personnes en difficulté avec l'alcool, ainsi que des membres de l'entourage. Écoute, soutien, amitié et informations. Réunion, le 3e mercredi de chaque mois.
Mercredi 17 janvier, 19 h à 21 h 30, à la maison de la famille, rue de la Distillerie. Contact : 06 23 66 28 25, 06 69 71 91 22.
Sobriété, liberté, santé, brisons le silence
Réunion. L'association vient en aide à toute personne ayant des problèmes avec l'alcool. Accueil des familles, écoute, visite au domicile, mise en contact avec les professionnels de santé. Entretien téléphonique possible avec Marie-Claude, au 06 10 08 27 15 ou Denis, au 06 38 44 36 34.
Mercredi 17 janvier, 17 h, au centre Bougainville, rue du Grand-Passage, à la Découverte.
Vie quotidienne
Keditu, association des devenus sourds et malentendants
Permanence. « Kestions d'audition », pour les personnes concernées par une perte d'audition, quel qu'en soit le niveau, ainsi qu'à leurs proches. Ces permanences sont assurées par des personnes elles-mêmes malentendantes. Une fois par mois. Gratuit.
Vendredi 19 janvier, 14 h à 16 h, Maison de la famille, 1, place Anne-de-Bretagne. Contact : 06 58 71 94 60, contact@keditu.org, http://www.keditu.org
DATE-CHARGEMENT: 16 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: qo
Copyright 2018 Ouest-France
tous droits réservés
141 of 500 DOCUMENTS
L'Yonne Républicaine
Mardi 16 Janvier 2018
Nord Edition; Sud Edition
Des données privées mieux protégées
RUBRIQUE: FDJ YONNE
LONGUEUR: 643 mots
ENCART: Notre nom, notre adresse, notre date de naissance Autant de données personnelles qui, parfois, nous échappent. Perdues, volées ou piratées. Pour s'adapter aux nouvelles réalités du numérique, une réglementation européenne va bientôt entrer en vigueur. Elle doit permettre de renforcer les droits de tous les citoyens européens et leur donne davantage de contrôle sur leurs données personnelles.
Une évolution qui n'a pas toujours été anticipée
Le 25 mai prochain, le Règlement général sur la protection des données (RGPD) sera effectif. Toutes les entreprises qui collectent, stockent et utilisent des données sont concernées. « Malgré les enjeux importants et une échéance très proche, les petites et moyennes entreprises de l'Yonne sont rarement au courant », s'inquiète Amandine Benoist, chargée de développement à la BGE (anciennement « boutiques de gestion »). L'association qui vient en appui aux entrepreneurs a organisé une réunion la semaine dernière sur ce thème. « Seules trois personnes sur quarante connaissaient le RGPD. Il est important de se mettre à jour rapidement. »
« Les entrepreneurs n'ont pas forcément anticipé cette évolution, confirme Patrick Cottin, à la CCI de l'Yonne. Pour pallier ce manque d'information, je leur conseille notamment d'aller se renseigner sur des sites bien construits comme celui de la Cnil ( Commission nationale de l'informatique et des libertés sur cnil.fr, ndlr ) . »
Une des mesures majeures de la réglementation concerne la désignation d'un DPO. « Le délégué à la protection des données personnelles est quelqu'un de l'entreprise (par exemple le dirigeant ou le responsable informatique) ou une personne extérieure. C'est une nouvelle casquette qu'il ne faut pas prendre à la légère. Le DPO est le garant de la bonne application du RGPD », précisent Baptiste Morvillez et Nathalie Grimeau, à la tête de l'agence digitale Sekoyah, basée à Champignelles.
La réglementation prévoit également « l'augmentation des procédures pour détecter les failles éventuelles qui pourraient causer des fuites de données. Ces failles doivent être remontées à l'autorité compétente, la Cnil. »
Des demandes de consentement à reformuler
Le renforcement du recueil du consentement est également au coeur du RGPD. « À partir du 25 mai 2018, tous les consentements sont considérés comme caduque, précise Nathalie Grimeau. Les entreprises doivent redemander tous les consentements à leurs clients. C'est le cas notamment pour les newsletter. »
Face à ces changements, les entrepreneurs icaunais sont plus ou moins préparés. Annick Becasseau suit actuellement une formation afin de mieux maîtriser le sujet. « Cela va me permettre d'apporter une expertise et des solutions à travers ma société Exalsys informatique. Il y a de plus en plus de vols de données, d'usurpation d'identité et d'intrusion dans les systèmes. Dans ce contexte, le RGPD est une belle évolution pour le droit des individus. Mais il sera difficile pour tout le monde d'être en conformité au mois de mai. Tout le monde n'aura pas les solutions techniques ou les moyens financiers. »
« Je me sens un peu démuni »
Si Annick Becasseau a pris les devants, certains n'ont pas autant anticipé le règlement européen à venir. « Je n'avais jamais entendu parler du RGPD avant la semaine dernière », reconnaît Guillaume Bonneau, à la tête d'Agitateur de greniers, une petite entreprise spécialisée dans le relooking de meubles. Sur le principe, il estime « bien le fait d'encadrer les données ».
Mais, dans les faits, l'entrepreneur jovinien est plus sceptique. « J'ai l'impression que cette loi n'est pas dimensionnée aux petites entreprises comme la mienne. C'est comme me demander tout un système de sécurité incendie alors que je n'ai qu'un cabanon de jardin. »
L'artisan possède un fichier sur son ordinateur « avec quelques centaines de noms, de prénoms, de numéros de téléphone et d'adresses » de clients. « J'ai un pare-feu standard mais il m'est impossible de garantir que je ne serai pas piraté, poursuit-il. Je me sens un peu démuni. Pour autant, je ne suis pas inquiet. Je vais m'informer davantage sur le sujet. Ça va être un point d'attention ces prochaines semaines. »
Marc Charasson marc.charasson@centrefrance.com
DATE-CHARGEMENT: 16 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: NORD; SUD
Copyright 2018 L'Yonne Républicaine et lyonne.fr
Tous droits réservés
142 of 500 DOCUMENTS
Banque & Stratégie
15 janvier 2018
La réglementation renforce la responsabilité des acteurs financiers en matière de cybersécurité
RUBRIQUE: OBLIGATIONS LÉGALES
LONGUEUR: 1505 mots
ENCART: Face à l'évolution des cybermenaces, anticiper et organiser la cybersécurité est une nécessité. C'est également une obligation qui s'intensifie : la réglementation française et européenne contraint à amplifier la sécurité du numérique. Toutes les organisations sont concernées et plus particulièrement le secteur financier.
La sécurité du numérique est un enjeu majeur. Il s'agit de protéger les données, les clients et la continuité d'activité. Or la volonté de l'Union européenne (UE) est de promouvoir l'industrie du numérique et de défendre un modèle démocratique assurant la protection des droits fondamentaux.
Cette évolution de la régulation bouscule les pratiques des entreprises. Se conformer aux nouvelles règles signifie s'approprier la connaissance, gérer ce risque réglementaire, investir, mettre en application les principes, adapter voire bouleverser l'organisation.
Quelles sont les tendances majeures de cette réglementation ?
Responsabilisation renforcée
Un ensemble de textes récents obligent l'entreprise à mettre en action les principes de sécurité du numérique. Cette sécurité passe par une responsabilité renforcée. Les textes créent de nouvelles obligations pour les acteurs du numérique, notamment celle de notifier aux autorités de contrôle (ANSSI, CNIL, etc.) les incidents de sécurité.
Par ailleurs, l'obligation de sécuriser l'information est présente aussi dans la directive dite « Secret des affaires »[1], publiée en juin 2016. Elle vise à harmoniser la protection des informations ayant une valeur économique, à la condition que les entreprises en assurent la protection[2]. La transposition de cette directive en France doit intervenir avant le 9 mai 2018.
Plus largement, l'UE veut devenir plus résiliente face aux cyberattaques et adopter des mesures efficaces, en matière de cyberdissuasion et de répression par le droit pénal. C'est l'ambition du « Paquet Cyber » proposé par la Commission le 13 septembre dernier et en préparation à Bruxelles, pour lancer un ensemble de mesures visant à harmoniser et renforcer la cybersécurité européenne. Parmi ces mesures, un projet de directive[3] de lutte contre la fraude aux moyens de paiement autres que les espèces, la transformation de l'ENISA[4] en Agence européenne de cybersécurité, le développement de labels de sécurité et une amélioration des poursuites pénales des cybercriminels.
Quelle sécurité pour les nouveaux entrants ?
La Directive concernant les services de paiement (dite DSP2)[5] organise la création d'un cadre juridique et de contrôle des acteurs émergents du marché des paiements.
L'ordonnance[6] du 9 août 2017 portant transposition de cette directive crée, pour les prestataires de services de paiement, des obligations en matière de sécurité des services en ligne, l'authentification forte[7] du client devient obligatoire notamment[8].
Dans le cadre de l'ouverture du marché, quelles sont les exigences de sécurité des systèmes pour ces acteurs[9] ? La Commission a adopté, le 27 novembre 2017, des règles garantissant une plus grande sécurité des paiements électroniques (standards techniques ou RTS[10]). Elle a entendu les critiques de l'Autorité bancaire européenne (ABE) et de la Fédération bancaire européenne (EBF) qui voulaient interdire, pour des questions de sécurité, le recours au web scraping pour aspirer les données des clients. Le web scraping sera limité en cas d'indisponibilité des API[11] bancaires. Ces nouvelles règles permettront aux consommateurs d'utiliser les services innovants proposés par les FinTechs, tout en conservant des mesures strictes de protection et de sécurité des données.
Le Parlement européen et le Conseil disposent d'une période d'examen de trois mois depuis le 27 novembre avant leur publication. Banques et FinTechs disposeront alors de 18 mois pour mettre en place ces mesures de sécurité.
Protection datacentrique
L'incontournable RGPD[12] sera applicable d'ici quelques mois, le 25 mai 2018. Les établissements financiers traitent, souvent à grande échelle, les données de clients, salariés et fournisseurs.
Pour se conformer au RGPD, les évolutions sont majeures : renforcer la structure en charge des données personnelles, formaliser les accords avec les sous-traitants, recueillir les consentements des personnes et faciliter l'exercice de leurs droits. Parmi ces droits, la portabilité des données bancaires suscite encore des interrogations pratiques et nécessite des travaux de coordination.
Les responsables de traitement devront également notifier les violations de sécurité auprès de la CNIL, voire des personnes concernées. Le 3 octobre 2017, le G29[13] a publié[14] ses recommandations sur les modalités de notification. Le RGPD s'accompagnera de sanctions administratives fortes[15].
Le futur règlement ePrivacy complétera le RGPD sur les métadonnées, afin d'harmoniser la législation des États membres en matière de confidentialité des communications électroniques. L'objectif de Bruxelles est que les règlements GDPR et ePrivacy soient applicables simultanément, mais ce calendrier semble ambitieux car le futur règlement doit encore être adopté par le Parlement européen.
La loi pour une République numérique[16] a déjà fait évoluer quelques principes de la protection des données personnelles en France.
Le projet de nouvelle loi de protection des données personnelles[17], publié le 13 décembre dernier, modifiera les pouvoirs de contrôle de la Commission. Ce texte remplace le système de contrôle a priori de la CNIL (régimes de déclaration et autorisation préalables) par un système de contrôle a posteriori, fondé sur l'appréciation des risques par le responsable de traitement. Les formalités préalables seront maintenues pour les données les plus sensibles (données biométriques ou génétiques, données de santé, données utilisant le numéro d'inscription au RNIPP[18]).
Ce projet de 24 articles est minimal, en attendant la réécriture de la réglementation pour compléter le RGPD, vraisemblablement par voie d'ordonnance.
Conformité et gestion des risques
La fonction de conformité, traditionnellement axée sur la gestion des risques financiers, voit son périmètre s'élargir. La direction des risques ne peut ignorer le risque lié à la sécurité de l'information. Quels que soient l'organigramme et le positionnement du CISO[19], la gestion du risque cyber est devenue une composante majeure du risque opérationnel[20]. L'ABE a publié[21] en mai 2017 des orientations sur les risques liés aux technologies de l'information et de la communication. Depuis le 1er janvier 2018, ces lignes directrices s'appliquent aux autorités nationales de supervision, dont l'ACPR, pour les inciter à la prise en compte de ces risques dans l'évaluation du risque opérationnel.
Un enjeu de souveraineté nationale
Au-delà du maintien de l'activité de l'entreprise, la cybersécurité est un enjeu de souveraineté nationale. Les systèmes d'information des acteurs majeurs sont complexes et interconnectés. Cela les rend vulnérables et le législateur renforce la coordination avec la puissance publique.
L'objectif est d'élever le niveau de sécurité collectivement. La France est le premier pays à s'appuyer sur la réglementation pour définir un dispositif de cybersécurité de ses infrastructures d'importance vitale. Depuis la Loi de programmation militaire (LPM)[22] de 2013 les acteurs financiers considérés comme opérateurs d'importance vitale (OIV) sont tenus de mettre en oeuvre des systèmes de détection des événements. L'arrêté du 28 novembre 2016[23] concernant le secteur Finances a formalisé la mise en place effective des dispositions réglementaires.
Au plan européen, la directive dite SRI ou NIS[24] du 6 juillet 2016 veut assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union. Elle prévoit le renforcement de la cybersécurité par chaque État membre, en créant le concept d'« opérateurs de services essentiels » (OSE). Ces opérateurs, plus nombreux que les OIV, devront se conformer à un niveau national de règles de cybersécurité, incluant l'obligation de notifier les incidents.
La directive SRI instaure aussi des règles communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l'informatique en nuage, des moteurs de recherche et places de marché en ligne. Les États membres ont jusqu'au 9 mai 2018 pour la transposer dans leur droit national.
Et demain ?
Un ensemble de textes majeurs pour la sécurité du numérique s'appliquent dès 2018. Comment anticiper les évolutions réglementaires à venir ? Les développements technologiques et l'internationalisation de la menace de cybercriminalité font encore évoluer les règles juridiques nationales et internationales[25]. La réponse législative fait figurer en bonne place l'obligation croissante de sécurisation des données et la confrontation des souverainetés numériques.
Les opportunités de l'économie datacentrique et la mise en valeur de la donnée ne sont durables que si elles s'accompagnent de gestion des risques et de conformité aux règles.
Pour les établissements financiers, les obligations croissantes d'assurer la sécurité de l'information et le renforcement des sanctions représentent, au-delà des contraintes, des incitations à la prévention et à la security by design[26]. La sécurité du numérique représente surtout un avantage concurrentiel et un vecteur de confiance.
DATE-CHARGEMENT: 9 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Groupe Revue Banque
Tous droits réservés
143 of 500 DOCUMENTS
Banque & Stratégie
15 janvier 2018
« Le DPO est le gardien du temple de la préservation des données »
RUBRIQUE: DONNÉES PERSONNELLES
LONGUEUR: 1230 mots
ENCART: Le Règlement général sur la protection des données (RGPD) qui doit entrer en vigueur fin mai 2018 impose aux banques de nommer un Délégué à la protection des données (DPO). Celui-ci doit s'assurer que l'entreprise est conforme au règlement qui donne de nouvelles obligations à la banque en matière de préservation et de sécurité des données à caractère personnel, cibles potentielles de fraudes et de cyberattaques.
Vous avez été nommé délégué à la protection des données (en anglais, Data Protection Officer - DPO) du groupe Société Générale. Pourquoi cette nouvelle fonction a-t-elle été créée ?
J'ai pris mes fonctions début septembre 2017, en avance de phase du Règlement général sur la protection des données (RGPD) qui impose aux entreprises d'une certaine taille qui traitent de données personnelles d'avoir un DPO à l'entrée en vigueur du règlement le 25 mai 2018. Société Générale a été l'un des premiers groupes bancaires et grands groupes à avoir nommé un DPO.
Celui-ci est le gardien du temple de la préservation des données et doit s'assurer que l'entreprise met en place les mesures qui permettent de protéger les données personnelles des clients, des collaborateurs, et plus généralement de toutes les personnes physiques avec lesquelles elle est en relation.
Le DPO doit notamment veiller à faire respecter ce que la banque a le droit de faire ou pas avec les données confiées par ses clients. Il y a des responsabilités nouvelles à la charge de la banque, qui doit par exemple demander le consentement éclairé, explicite et libre du client dans certains cas assez rares qui ne relèvent pas de l'activité habituelle de la banque, comme par exemple pour proposer un service innovant basé sur les données de géolocalisation. Le DPO doit s'assurer que l'entreprise met en place les mesures pour assurer, d'une part, la protection et la sécurité des données personnelles et, d'autre part, leur bon usage.
Il y a une grande proximité entre le texte du RGPD et les attentes des clients. RGPD est un sujet réglementaire mais aussi de stratégie de relation clients, qui fait écho aux craintes et interrogations des clients concernant leurs données personnelles. En tant que tiers de confiance, la banque travaille depuis toujours sur la question de la sécurité. Traiter des données personnelles et ne pas les divulguer fait partie de la culture d'une banque.
Quelles sont les missions concrètes du DPO ?
Le DPO a trois grandes missions. Une mission de conformité classique : il doit s'assurer que l'entreprise est conforme au RGPD. Une mission de conseil aux métiers : il doit accompagner les métiers dans le cadre de leurs actions IT, les aider à décliner la politique de la donnée de la banque.
Et il est le point de contact avec le régulateur, la Commission informatique et libertés (CNIL) et ses homologues dans les différents pays. Cela était une des missions de l'ancienne fonction de correspondant informatique et liberté (CIL) qui n'existe plus. GDPR prolonge la loi informatique et libertés, et le DPO prolonge le CIL.
Quelles missions concernent la protection et la sécurité des données personnelles en particulier ?
Pour une banque, le sujet de la protection des données personnelles est un sujet de préoccupation historique. Par construction, nous avons cette culture de la protection des données sur les aspects sécurité et, depuis quelques années, cybersécurité. Nous avons chez Société Générale une filière très forte de sécurité des systèmes d'information (SSI), sur laquelle je compte m'appuyer pour le volet sécurité du RGPD.
Le DPO doit vérifier que le niveau et le protocole de sécurité de toute application prennent bien en compte les aspects de protection et de données personnelles et, dans certains cas, ajuster ce niveau de sécurité. Nous avons commencé à vérifier le niveau de sécurité en face de chaque application dès 2016.
La banque figure parmi les industries les plus concernées par les cybermenaces. La cybersécurité concerne toute la chaîne et c'est par le maillon faible que peut survenir une attaque. Il faut donc bien protéger le système central et les applications. Le facteur humain constitue souvent le maillon faible et nous développons auprès de nos collaborateurs des actions de formation et de sensibilisation continues.
Le RGPD introduit de nouvelles notions en termes de sécurité des données...
Il y a trois éléments : la notion de privacy by design (l'intégration de la protection dès la conception), la notion de privacy by default (intégration de la protection par défaut) et le devoir d'alerte en cas de fuite d'informations.
Le privacy by design est le volet le plus important. Dès l'origine d'un nouveau produit ou d'une nouvelle application, nous devons nous poser la question des données personnelles et nous assurer que la dimension protection des données est assurée. Nous plaçons très en amont dans l'organisation les capteurs qui vont permettre de détecter le niveau de sécurité de tout projet.
Le privacy by default consiste à s'assurer que, par défaut, on est au niveau de sécurité le plus fort apporté.
Enfin, à partir du 25 mai prochain, il va devenir obligatoire de déclarer les fuites de données importantes au régulateur dans les 72 heures, ce qui est un délai très contraignant mais pertinent, voire dans certains cas d'avertir les personnes concernées si l'impact est important et si une mesure est nécessaire de leur côté, comme le changement de mot de passe.
Comment s'organise l'équipe du DPO au sein de Société Générale ?
Société Générale a décidé de placer son DPO à la direction de la Conformité du groupe. Il y aura un réseau de DPO correspondants qui seront logés dans la filière Conformité, et un DPO dans chacun des pays où la banque est présente, en contact avec les autorités locales.
La philosophie dans laquelle je m'inscris est de m'appuyer sur les actifs de la banque. Nous renforçons nos équipes, mais nous nous appuyons sur des équipes existantes. Je vais prendre appui sur des expertises pour mener ma mission, sur trois sujets en particulier : les équipes RSSI, les équipes juridiques et les métiers de data office, notamment les équipes data qui gèrent les data lakes[1]. Les équipes de DPO s'appuient sur les expertises des RSSI locales et sur les équipes juridiques pour les réglementations locales.
Vous étiez auparavant responsable du digital dans la banque de détail en France. Avec des systèmes de plus en plus ouverts, y a-t-il plus de risques pour les données personnelles ?
Le développement du digital a certes considérablement augmenté le volume des données échangées sur le Net, engendrant davantage de risques. Cependant, en tant que banque, nous sommes depuis toujours dans une culture de protection de la donnée de nos clients et ne sommes pas prêts à faire de concession en la matière.
La DSP2 va favoriser l'ouverture et l'interaction des systèmes. Est-ce un sujet pour la protection des données ?
C'est un sujet. Il faut que tous les acteurs de la chaîne soient au même niveau d'exigence sur ces questions de sécurité, de confidentialité et de protection de l'usage de la donnée, que les règles s'appliquent à tous.
Il y a aussi la question de la responsabilité indirecte du client. On ne peut empêcher un client de donner ses codes de banque à distance à un agrégateur par exemple. Mais les clients évoluent, il y a une sensibilisation pour la sécurité qui est très forte. En l'occurrence, dans le cadre de DSP2, des solutions sécurisées seront mises en oeuvre par les banques en suivant les recommandations européennes.
Tous les acteurs sont-ils au même niveau de protection ?
Ce n'est pas toujours le cas, mais je crois à l'intelligence collective et au fait que le juge de paix, au final, sera le client. Un éventuel fauteur de trouble sera sanctionné par le marché et les clients.
Propos recueillis par L. B.
DATE-CHARGEMENT: 9 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Groupe Revue Banque
Tous droits réservés
144 of 500 DOCUMENTS
Economie Matin
15 janvier 2018 04:00 AM GMT
Une année 2018 sous le signe de l'ouverture pour l'informatique d'entreprise
LONGUEUR: 1174 mots
L'année 2018 sera marquée par d'importants événements déjà prévus, notamment le mariage princier au Royaume-Uni, la Coupe du monde de football en Russie et l'entrée en vigueur du Règlement européen général sur la protection des données (RGPD), pour n'en citer que quelques-uns. Je ne suis pas en mesure de faire des pronostics sur l'avenir des princes britanniques ou sur le gagnant de la coupe du monde, mais voici mes prédictions pour l'année 2018 en matière d'avancées technologiques, notamment concernant l'open source et les solutions dédiées aux entreprises. Le monde de l'informatique d'entreprise vit de nombreuses évolutions significatives, à commencer par l'émergence de l'écosystème de conteneurs, la poursuite de la transition vers le Cloud hybride et l'essor des infrastructures et systèmes de stockage automatisés et définis par logiciel. Partant de là, à quoi faut-il s'attendre ces douze prochains mois et plus, et comment les équipes informatiques doivent-elles se préparer aux évolutions attendues ? La maturation des stratégies de cloud hybride Il y a fort à parier que dans les années à venir, le paysage Cloud public va se diversifier.
Les fournisseurs de services hébergés dans le Cloud se multiplient : des entreprises de conseil telles que Wipro, Atos, Infosys, HCL, etc. travaillent sur leurs propres services de cloud gérés, tandis que des acteurs du Cloud historiquement régionaux, tels qu'OVH par exemple, se développent à l'échelle mondiale. Proposer des clouds publics n'est pas sans poser des risques, avec la possibilité d'un effet d'assujettissement, ce qui pousse des organisations à opter pour une approche hybride. Si la totalité de vos transactions informatiques et de vos données sont stockées dans un seul et même cloud public, vous risquez de vous retrouver pieds et poings liés à celui-ci. En conséquence, un nombre croissant d'organisations devrait adopter une approche de cloud hybride. Avec lacute;évolution des objets connectés également, le traitement de données et le calcul se font également plus proches des noeuds et points terminaux de réseaux, et non uniquement en central dans les clouds publics. Sans compter les systèmes dacute;information traditionnels qui se trouvent actuellement installés dans des centres de données privés. Le cloud hybride est une réalité à laquelle doit se confronter l'informatique d'entreprise, et pas seulement en permettant à des clouds différents de fonctionner de concert. Il est absolument essentiel que les charges de travail et les données puissent être exécutées et stockées peu importe le type de cloud. Pour répondre à cette problématique, de nouvelles solutions apparaissent, et ont pour effet d'accroître la pression sur leurs prix ainsi que dacute;améliorer les fonctionnalités proposées - notamment pour celles qui sont open source dacute;où la majorité des innovations provienne. Essor et consolidation de l'écosystème de conteneurs ? Kubernetes, moteur d'orchestration en open source, a fait une entrée fracassante sur le marché il y a deux ans avec sa technique d'automatisation des déploiements, des redimensionnements et de gestion des applications conteneurisées. Ce produit a déjà remporté la bataille de l'orchestration de conteneurs et, selon les prévisions d'experts, devrait poursuivre son essor fulgurant dans les années qui viennent, à mesure que les entreprises reconnaissent son potentiel. La prochaine étape de cette technologie concernera l'écosystème de conteneurs dans son ensemble. La protection des conteneurs, le maillage et la gestion des services, la mise en réseau, la gestion et le stockage sont en effet les prochains sujets phare pour Kubernetes et pour les acteurs spécialistes des conteneurs. Le secteur s'est déjà mis en ordre de bataille et devrait s'y consacrer largement en 2018. Avec cette vague d'adoptions et l'arrivée à maturité, les 2 prochaines années seront-elles placées sous le signe de la consolidation des solutions et des fournisseurs de solutions travaillant avec Kubernetes ? Le matériel est devenu le nouveau logiciel Le logiciel est, depuis un bon moment, le principal objet des discussions visant à donner aux entreprises un avantage compétitif par le biais de la technologie. Il ne faut cependant pas occulter le matériel, qui est plus important que jamais. De nouvelles tendances font leur apparition, notamment celle du matériel " ouvert " où la puissance de traitement ne sert pas uniquement aux calculs haute performance (HPC) ; elle est ainsi exploitée pour d'autres usages. Les autres tendances concernent l'apprentissage automatique, le machine et deep learning, et le calcul quantique ; des unités de traitement spécialisées sont ainsi utilisées pour optimiser des calculs spécifiques. Ces phénomènes devraient prendre de l'ampleur en 2018 et au-delà, puisque selon les prévisions, le marché du calcul quantique devrait peser près de 500 millions de dollars à l'horizon 2023. Faire preuve d'ouverture vis-à-vis de l'open source En 2018, il s'agira de trouver le moyen de combiner les différentes nouvelles technologies que sont les objets connectés ou Internet des Objets (IoT) et l'intelligence artificielle (IA). Et il ne s'agira pas seulement de les utiliser ensemble, puisqu'il faudra aussi apprendre à les intégrer à des infrastructures existantes. La combinaison du big data et des capacités analytiques avec l'IA est un bon exemple de technologies capables d'interagir efficacement. Dès lors, il convient de trouver comment bien les associer et les gérer ensemble. Du point de vue de l'open source, pour espérer combiner des stacks avec succès, les entreprises devront accepter de s'ouvrir à la concurrence et à travailler ensemble. Le nombre de combinaisons possibles étant considérable et en constante expansion, être ouvert devient un réel impératif. Depuis l'apparition de Linux il y a 26 ans, ses déclinaisons pour entreprises ont vu le jour les unes après les autres, en se fragmentant en de nombreuses solutions avant de se consolider. En 2018 et au-delà, l'industrie devra absolument continuer de tirer parti le plus possible de la communauté open source pour utiliser les ressources disponibles librement, en renonçant à l'approche de création individualiste. Les responsables informatiques doivent donc se rapprocher de la communauté open source pour se procurer des technologies en plein essor - celles des services de PaaS (Platform-as-a-Service) et de conteneurisation par exemple - en s'attachant à la valeur commerciale de la technologie elle-même, au lieu de partir de zéro pour créer un produit ou de sacute;attacher à un seul fournisseur. En 2018, différentes technologies - des conteneurs à l'IA en passant par le cloud hybride - vont atteindre le stade de la maturité. Pour être déployées de manière fructueuse et générer de la valeur ajoutée pour les entreprises dans les mois et années à venir, ces technologies devront pouvoir fonctionner de manière collaborative, les unes avec les autres et au sein d'infrastructures existantes.
DATE-CHARGEMENT: 17 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Economie Matin
Tous droits réservés
145 of 500 DOCUMENTS
Le Cercle
lundi 15 janvier 2018
Rebondir sur le RGPD pour améliorer le traitement de ses données
AUTEUR: Sophie Lubet
RUBRIQUE: ARTICLE; Le "capital" data, le principal asset du retailer
LONGUEUR: 647 mots
ENCART: 2018, année de la privacy ! Avec le RGPD qui arrive à grands pas, c'est l'occasion pour les retailers de jouer la carte de la transparence tout en se mettant à niveau sur l'utilisation des datas. Objectif : rester dans la course avec la concurrence des pure players.
Qui est le champion des ventes grâce à son expertise de la donnée ? Amazon ! Au troisième trimestre 2017, le chiffre d'affaires net du groupe a grimpé de 33,7 % à 43,74 milliards de dollars (37,5 milliards d'euros). Qui est le retailer préféré des Français*, capable d'anticiper vos commandes (grâce au marketing prédictif) avant même que vous n'y pensiez ? Encore Amazon ! Et à chaque fois, le mérite en revient, en grande partie, à son expertise sur la data et à sa connaissance client.
Le "capital" data, le principal asset du retailer
Le marketing est entré dans une ère décisive : celle de la donnée. Les géants du web, avec en tête de file Amazon, l'ont bien compris et ont un train d'avance en termes de "big data". Le fameux Règlement Européen sur la Protection des Données (RGPD) se révèle donc l'occasion pour les retailers d'améliorer la qualité et le traitement de leurs bases de données, mais aussi de créer un nouveau capital confiance avec les consommateurs.
Il n'y a pas d'hésitation à avoir : la mise en conformité est obligatoire d'ici le 25 mai prochain. Sinon, une sanction financière s'appliquera automatiquement. Montant maximum des sanctions applicables en France par la CNIL : 4 % du chiffre d'affaires mondial. Mieux vaut donc bien se préparer !
Le RGPD vise avant tout à renforcer la protection des données personnelles des internautes. Pour faire simple, avant il fallait le consentement préalable pour communiquer de manière électronique. À compter du 25 mai 2018, ce sera dès la collecte des données qu'il faudra demander l'autorisation des internautes.
En tant que collecteur de données, les commerçants sont donc concernés au premier chef. Et ils devront modifier aussi leurs CGU, CGV... en les enrichissant de demandes de consentement.
Autant donc profiter de ce passage obligé pour renforcer les liens avec les consommateurs ! N'oublions pas que 90 % des Français** se disent aujourd'hui préoccupés par l'usage qui est fait de leurs données. Par conséquent, repenser sa politique data en l'orientant au service d'une meilleure relation marque consommateur va les rassurer. Et améliorer l'image de marque des cybermarchands.
Le RGPD est une opportunité d'améliorer l'expérience-utilisateur
L'ère est au parcours omnicanal, sans rupture entre l'enseigne et son client. Dans ces conditions, pourquoi ne pas décider d'alimenter en continu cette relation personnalisée via des applications clienteling plus élaborées, des campagnes attractives de notifications en push, qui motivent au passage le client à livrer encore plus d'informations sur lui ? Ce qui permet aux marchands de créer un cercle vertueux en enrichissant constamment leur connaissance client. Comme Amazon !
Après la collecte vient la réconciliation des données cross-canal, de manière à avoir une vision fiable à 360° du client. Le tout en live, autrement dit en temps réel, pour évoluer au rythme imposé par les pure players.
Bref, il s'agit ni plus ni moins de travailler au mieux ses données pour délivrer la meilleure expérience possible, personnalisée et contextualisée, gage d'une relation client performante. Des données, au bout du compte, qui seraient plus qualitatives, plus fiables et donc aussi plus monétisables. À la clé donc : plus de business.
Reste que selon le Baromètre Converteo RGPD, seulement 6 % des acteurs en France sont aujourd'hui en phase avec le nouveau règlement. À l'inverse, les acteurs nés sur internet sont globalement en avance dans le processus de conformation : 83 % d'entre eux ont déjà ajusté leurs pratiques d'information des consommateurs en matière de collecte des données personnelles. Les retailers savent ce qu'il leur reste à faire.
* Source : Amazon, enseigne de distribution préférée des Français, d'après le palmarès établi par le cabinet de conseil OC&C Strategy
** CSA - "Les Français et la protection de leurs données personnelles" - septembre 2017
DATE-CHARGEMENT: 16 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
146 of 500 DOCUMENTS
Les Echos
lundi 15 janvier 2018
Données personnelles : l'Europe ne doit pas se tromper de guerre
AUTEUR: JEAN-BAPTISTE RUDELLE
RUBRIQUE: IDEES; Pg. 11 N°. 22613
LONGUEUR: 707 mots
Pour des raisons historiques et culturelles, les Européens sont particulièrement sensibles au respect de la vie privée des personnes. Avec l'omniprésence croissante de l'Internet dans notre vie quotidienne, c'est devenu un enjeu de société majeur. Le sujet est d'autant plus critique que l'essentiel des données personnelles Internet de Européens sont aujourd'hui sous le contrôle d'une poignée de géants américains, les fameux Gafa.
Avec le Règlement général sur la protection des données (RGPD), l'Europe s'est enfin dotée d'un outil moderne en matière de défense de la vie privée. L'idée du législateur est d'harmoniser les règles européennes et de renforcer le pouvoir de sanction des régulateurs, qui peuvent infliger des amendes allant jusqu'à 4 % du chiffre d'affaires mondial. Ayant bien en tête l'hyperdomination américaine dans ce domaine, l'Europe a pris soin que ces règles s'appliquent à toutes les entreprises collectant des données sur des citoyens européens, qu'elles soient ou non localisées sur le territoire de l'Union européenne.
Je trouve que c'est une très bonne chose. De manière générale, je soutiens tout ce qui va dans le sens de règles universelles qui permettent à chacun de décider librement de la manière dont sont utilisées ses données personnelles. Il faut aussi l'avouer, il est grand temps de rétablir - en partie au moins - notre souveraineté numérique face à la toute-puissance des Gafa. L'ennui est que, parfois, des initiatives réglementaires pleines de bonnes intentions risquent paradoxalement de renforcer la domination des Gafa, ce qui serait un comble. Pour illustrer l'enjeu, je vais prendre l'exemple du secteur de la publicité numérique. Sous l'influence des lobbys américains, les Européens se sont pris à leur propre piège : soit protéger la vie privée de leurs concitoyens, soit favoriser le développement économique des services numériques européens.
Société française pétrie des valeurs européennes, Criteo a toujours considéré la protection de la vie privée comme un principe sacro-saint. Dès 2009 j'ai imposé à tous nos clients que, à tout instant, les internautes puissent en deux clics décider d'effacer toutes les données de navigation collectées et que plus aucune collecte ne soit faite sur eux à l'avenir. Aucune réglementation à l'époque ne nous obligeait à faire cela. Cette démarche proactive de transparence a été soutenue par les internautes.
Le vrai problème porte sur la manière d'établir le consentement de l'utilisateur. L'approche retenue jusqu'alors est que chaque site doit recueillir son consentement. Cette approche paraît pleine de bon sens, mais comporte en fait deux conséquences perverses. La première est que cette disposition alourdit beaucoup la navigation des internautes. Chaque fois qu'il va sur un nouveau site, l'internaute est confronté à un bandeau qui lui demande s'il accepte ou non cette collecte de données. La seconde conséquence est que cette approche favorise les plus gros sites, pratiquement tous américains, Gafa en tête. Un service utilisé tous les jours vous reconnaît automatiquement et n'a donc pas besoin de votre consentement. Tandis qu'un petit blog spécialisé consulté trois fois par an devra le redemander à chaque visite.
Cette friction a pour conséquence inexorable de concentrer le trafic Internet sur quelques mégasites. Pis, les accros à Facebook, qui consultent leur page dix fois par jour, sont disposés à accepter une utilisation exorbitante de leurs données personnelles.
La manière efficace et juste de régler ce problème serait d'offrir aux internautes un consentement universel, qui soit portable d'un site à l'autre. Soit l'internaute accepte le principe de la publicité personnalisée, soit il la refuse, ce choix pouvant être réversible. En cas de refus, tous les sites, petits et gros, doivent s'y conformer. Ainsi, le petit site indépendant aurait les mêmes chances que le géant.
Si on ne veut pas devenir une colonie numérique américaine, il est urgent d'agir. Laisser aux seuls Gafa le quasi-monopole de la publicité personnalisée sur Internet, c'est non seulement leur donner les clefs de notre souveraineté économique, mais c'est aussi menacer l'indépendance et la pluralité des médias européens.
DATE-CHARGEMENT: 15 janvier 2018
LANGUE: FRENCH; FRANÇAIS
NOTES: Jean-Baptiste Rudelle est président et fondateur de Criteo.
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
147 of 500 DOCUMENTS
La Tribune.fr
Vendredi 12 Janvier 2018 10:34 AM CET
L'avalanche des cyberattaques en 2017 nous fait craindre cette nouvelle année
AUTEUR: Bertrand Venard
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 833 mots
ENCART: Equifax, la SEC, Deloitte, Uber, l'Université de Stanford, chaque jour la liste des entreprises victimes d'un piratage s'allonge un peu plus. Quelles sont les risques pour les organisations victimes d'une cyberattaque ? Par Bertrand Venard, Professeur, Audencia Business School - France
Les récents cybercrimes contre les entreprises, organismes publiques et individus permettent de dresser une liste des cyber risques, sachant que ces risques dépendent du contexte de la victime et du type d'attaque. Des risques informationnels et techniques Le premier risque est informationnel. Ainsi, l'objectif d'un pirate peut être de pénétrer les systèmes d'information de sa cible pour détruire, voler des informations ou prendre le contrôle du système d'information. Si derrière le pirate se cache un concurrent, des informations stratégiques et confidentielles peuvent être entre les mains d'une entreprise adverse qui pourra exploiter ces informations pour mieux dominer son marché. Un autre risque est technique.
En touchant les systèmes d'information, les criminels remettent en cause l'intégrité de l'information et le bon fonctionnement des processus. Une entreprise industrielle peut ainsi devoir arrêter sa production. En mai 2017, le site de Renault à Douai a été fermé suite à la propagation du « ransomware » WannaCrypt. Si les conséquences techniques pour la firme française furent limitées, l'histoire de la cybersécurité montre que l'impact technique peut être considérable. Dix ans plus tôt en mai 2007, un pays entier, l'Estonie fut « mis à plat » par une attaque pilotée depuis la Russie avec des « botnets », des centaines de milliers d'ordinateurs zombis. Cette gigantesque cyberattaque hante depuis l'esprit des spécialistes. Des conséquences marketing et commerciales De plus, une cyberattaque peut avoir des conséquences marketing et commerciales. Deloitte qui vend des solutions contre la cybersécurité vient d'en faire l'amère expérience. Vendre des prestations contre les cyber risques et se faire pirater n'est pas une bonne publicité. La crédibilité d'une société victime d'un cybercrime peut s'en trouver écornée. Que penser d'une agence de notation comme Equifax qui laisse fuiter des informations confidentielles de 145 millions de clients américains ? Méfiants, les utilisateurs peuvent se détourner de l'entreprise « hackée ». L'entreprise victime perdra alors des clients et des parts de marché. Par ailleurs, dans les fichiers interceptés par les pirates, des fichiers des clients peuvent éventuellement permettre à des concurrents indélicats de les contacter avec des offres commerciales adaptées. Un risque légal pèse aussi sur les victimes. Le cadre légal ne cesse de changer dans ce domaine. Ainsi, la directive sur la sécurité des réseaux et des systèmes d'information (adoptée le 6 juillet 2016, connue sous l'appellation « directive NIS », Network and Information Systems) stipule notamment des règles de cybersécurité et l'obligation de notifier les incidents ayant un impact sur la continuité de leurs services. Les exigences légales se trouvent renforcées dans la protection des données, qui évolue dans le sens d'une plus forte protection accordée aux citoyens dans ce domaine telle que définie par le RGPD (Règlement général européen sur la Protection des Données personnelles) qui entrera en vigueur en mai 2018. Le piratage d'Equifax, une perte de capitalisation de 3 milliards de dollars ! Évidemment, les conséquences précédentes engendrent un risque financier important. Ce coût financier est composé des frais des consultants et d'avocats appelés pour réparer les dégâts, pertes financières consécutives à la perte de marché ou l'arrêt de la production, coût découlant de la perte d'information stratégique, amendes infligées par les autorités, rançons éventuelles à des pirates. Il faut rajouter le coût parfois exorbitant de la baisse du cours de l'action. Ainsi, quand Equifax a annoncé le 6 septembre 2017 avoir été victime d'un piratage, le cours de son action a perdu 35% de sa valeur en seulement une semaine. Elle a toujours un cours inférieur de plus de 20% à son cours maximum de l'année 2017, soit une perte de capitalisation boursière de presque 3 milliards de dollars ! Enfin, une cyberattaque peut avoir de multiples conséquences humaines et organisationnelles. Suite à un piratage, l'entreprise victime vivra une déstabilisation profonde du corps social avec le licenciement des responsables, des peines de prison, le départ volontaire de hauts potentiels.
L'annonce par le PDG d'Uber d'un piratage massif de données concernant presque 60 millions de clients et chauffeurs a entraîné rapidement des licenciements. Autrefois auréolée comme un entreprise digitale prometteuse, Uber peut être maintenant perçue avec défiance par ses salariés et partenaires. Face à un cybercrime, le sommet stratégique est aussi touché. Aux commandes depuis 2005, le Président d'Equifax a été contraint à la démission le 26 septembre 2017, se faisant aussi pointer du doigt comme « incompétent » par des sénateurs américains. Face à l'avalanche des cyber risques, les décideurs ne peuvent plus sortir un simple parapluie en s'exclamant « je ne savais pas » sachant que les prochaines attaques seront encore plus dures et spectaculaires.
(898049.png)
DATE-CHARGEMENT: 12 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2018 La Tribune
Tous droits réservés
148 of 500 DOCUMENTS
La Tribune
Vendredi 12 Janvier 2018
L'avalanche des cyberattaques en 2017 nous fait craindre cette nouvelle année
AUTEUR: Bertrand Venard
RUBRIQUE: FOCUS; Pg. 18
LONGUEUR: 833 mots
ENCART: Equifax, la SEC, Deloitte, Uber, l'Université de Stanford, chaque jour la liste des entreprises victimes d'un piratage s'allonge un peu plus. Quelles sont les risques pour les organisations victimes d'une cyberattaque ? Par Bertrand Venard, Professeur, Audencia Business School - France
Les récents cybercrimes contre les entreprises, organismes publiques et individus permettent de dresser une liste des cyber risques, sachant que ces risques dépendent du contexte de la victime et du type d'attaque. Des risques informationnels et techniques Le premier risque est informationnel. Ainsi, l'objectif d'un pirate peut être de pénétrer les systèmes d'information de sa cible pour détruire, voler des informations ou prendre le contrôle du système d'information. Si derrière le pirate se cache un concurrent, des informations stratégiques et confidentielles peuvent être entre les mains d'une entreprise adverse qui pourra exploiter ces informations pour mieux dominer son marché. Un autre risque est technique.
En touchant les systèmes d'information, les criminels remettent en cause l'intégrité de l'information et le bon fonctionnement des processus. Une entreprise industrielle peut ainsi devoir arrêter sa production. En mai 2017, le site de Renault à Douai a été fermé suite à la propagation du « ransomware » WannaCrypt. Si les conséquences techniques pour la firme française furent limitées, l'histoire de la cybersécurité montre que l'impact technique peut être considérable. Dix ans plus tôt en mai 2007, un pays entier, l'Estonie fut « mis à plat » par une attaque pilotée depuis la Russie avec des « botnets », des centaines de milliers d'ordinateurs zombis. Cette gigantesque cyberattaque hante depuis l'esprit des spécialistes. Des conséquences marketing et commerciales De plus, une cyberattaque peut avoir des conséquences marketing et commerciales. Deloitte qui vend des solutions contre la cybersécurité vient d'en faire l'amère expérience. Vendre des prestations contre les cyber risques et se faire pirater n'est pas une bonne publicité. La crédibilité d'une société victime d'un cybercrime peut s'en trouver écornée. Que penser d'une agence de notation comme Equifax qui laisse fuiter des informations confidentielles de 145 millions de clients américains ? Méfiants, les utilisateurs peuvent se détourner de l'entreprise « hackée ». L'entreprise victime perdra alors des clients et des parts de marché. Par ailleurs, dans les fichiers interceptés par les pirates, des fichiers des clients peuvent éventuellement permettre à des concurrents indélicats de les contacter avec des offres commerciales adaptées. Un risque légal pèse aussi sur les victimes. Le cadre légal ne cesse de changer dans ce domaine. Ainsi, la directive sur la sécurité des réseaux et des systèmes d'information (adoptée le 6 juillet 2016, connue sous l'appellation « directive NIS », Network and Information Systems) stipule notamment des règles de cybersécurité et l'obligation de notifier les incidents ayant un impact sur la continuité de leurs services. Les exigences légales se trouvent renforcées dans la protection des données, qui évolue dans le sens d'une plus forte protection accordée aux citoyens dans ce domaine telle que définie par le RGPD (Règlement général européen sur la Protection des Données personnelles) qui entrera en vigueur en mai 2018. Le piratage d'Equifax, une perte de capitalisation de 3 milliards de dollars ! Évidemment, les conséquences précédentes engendrent un risque financier important. Ce coût financier est composé des frais des consultants et d'avocats appelés pour réparer les dégâts, pertes financières consécutives à la perte de marché ou l'arrêt de la production, coût découlant de la perte d'information stratégique, amendes infligées par les autorités, rançons éventuelles à des pirates. Il faut rajouter le coût parfois exorbitant de la baisse du cours de l'action. Ainsi, quand Equifax a annoncé le 6 septembre 2017 avoir été victime d'un piratage, le cours de son action a perdu 35% de sa valeur en seulement une semaine. Elle a toujours un cours inférieur de plus de 20% à son cours maximum de l'année 2017, soit une perte de capitalisation boursière de presque 3 milliards de dollars ! Enfin, une cyberattaque peut avoir de multiples conséquences humaines et organisationnelles. Suite à un piratage, l'entreprise victime vivra une déstabilisation profonde du corps social avec le licenciement des responsables, des peines de prison, le départ volontaire de hauts potentiels.
L'annonce par le PDG d'Uber d'un piratage massif de données concernant presque 60 millions de clients et chauffeurs a entraîné rapidement des licenciements. Autrefois auréolée comme un entreprise digitale prometteuse, Uber peut être maintenant perçue avec défiance par ses salariés et partenaires. Face à un cybercrime, le sommet stratégique est aussi touché. Aux commandes depuis 2005, le Président d'Equifax a été contraint à la démission le 26 septembre 2017, se faisant aussi pointer du doigt comme « incompétent » par des sénateurs américains. Face à l'avalanche des cyber risques, les décideurs ne peuvent plus sortir un simple parapluie en s'exclamant « je ne savais pas » sachant que les prochaines attaques seront encore plus dures et spectaculaires.
(898049.png)
DATE-CHARGEMENT: 11 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
149 of 500 DOCUMENTS
Economie Matin
10 janvier 2018 04:00 AM GMT
Bilan numérique 2018 : "c'est arrivé demain" !
LONGUEUR: 533 mots
Ce film de René Clair a marqué mon enfance, en me faisant rêver à cette merveilleuse capacité de savoir ce qui va se passer demain. On peut tout à fait imaginer le même scénario pour l'année 2018 qui arrive. Voici les grands apprentissages qui marqueront l'année 2018 dans le domaine du numérique qui aura été marqué par de nombreux événements.
Une chose est sûre en 2018, le terme informatique a pratiquement été abandonné au profit du numérique, ou digital dans sa version anglo saxonne. Il est à noter que malgré toute la bonne volonté de nos dirigeants, nos super starts- ups créées sont encore très loin de se transformer en licornes et encore plus loin de rivaliser avec les GAFA ou les BATX chinois. C'est affirmé, l'Europe reste en 2018 dépassée par ces géants du numérique sans imaginer un seul instant mettre en place les moyens de rivaliser. En 2019 peut-être ? Autre confirmation importante et si cela était nécessaire ; le Cobol reste un langage largement utilisé, car il est toujours illusoire d'imaginer réécrire les milliards de lignes dans un autre langage. C'est une bonne nouvelle, les petits génies possédant des compétences sur les nouveaux et anciens langages ont une brillante carrière devant eux. Un mot qui revient de plus en plus, la redécouverte de l'Intelligence Artificielle (IA). C'est bien, les vieux ne sont pas dupes, mais les jeunes pensent qu'il s'agit d'un sujet nouveau. Le Big Data est un flop dans son utilisation miraculeuse consistant à faire parler, sans directive, une masse de données. 2018 confirme qu'il faut quand même avoir une idée de ce que l'on cherche avant de mettre en place des solutions à plusieurs millions d'Euros. Cette année aura été l'année de la prise de conscience qu'il faut impérativement gérer mieux ses données. Cela est vrai pour les entreprises, mais aussi pour les particuliers. Le Data Management a quant à lui pris son envol. Le périmètre du numérique s'est encore élargi avec la multitude des objets connectés ou interconnectés. Nous avons souvent pu plaisanter en excluant les poubelles des objets connectables. Trop tard, les poubelles sont maintenant dans le réseau pour connaître les usages des utilisateurs. En 2018 l'e-learning devait exploser ! En 2019 peut être 2018 confirme également l'arrivée des barbares qui viennent occuper les marchés des seigneurs installés : Les taxis agonisent, l'hôtellerie souffre, les pure players de la voiture électrique prennent des parts de marchés significatives. Avec toujours nos grandes peurs, comme si la crainte devait nous aider à mieux vivre. La RGPD aura passé le cap du mois de mai sans grand bouleversement. Tout le monde n'était pas prêt, mais la répression non plus. Et l'IA qui va remplacer l'homme dans ses activités, et qui nous fait perdre notre job. Cela ne se produira pas, donc nous pouvons reporter cette peur sur 2019. Une année 2018 somme toute normale. Je ne sais plus ce qui avait être prévu par les futurologues patentés. De toutes les façons, nous ne vérifions que rarement que les prédictions se réalisent. Je lis mon horoscope, mais j'oublie très vite pour gérer le présent, mon avenir immédiat et surtout mes prochaines vacances. Bonne année 2019 !
DATE-CHARGEMENT: 12 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Economie Matin
Tous droits réservés
150 of 500 DOCUMENTS
La Tribune - Objectif news - (Midi Pyrénées)
Mercredi 10 Janvier 2018
Skeep, l'application toulousaine pour "reprendre le contrôle sur ses données"
AUTEUR: Florine Galéron
RUBRIQUE: INNOVATION; START-UP
LONGUEUR: 587 mots
ENCART: Série CES Las Vegas (3/5). À l'occasion du salon mondial de l'électronique focus sur la startup toulousaine Skeep qui a conquis en trois mois près de 100 000 utilisateurs. Son appli qui permet notamment de restreindre sur l'accès des annonceurs à leurs données personnelles.
"Nous travaillons pour te montrer ce que les entreprises ont sur toi. Encore un peu de patience et tu pourras reprendre le contrôle de tes données", annonce d'emblée l'application. Lancée à la mi-septembre par deux Toulousains, Skeep se définit comme "un ange-gardien des données personnelles". Après avoir téléchargé l'appli, l'utilisateur peut traiter ses mails ou son compte Facebook. La partie mail recense l'ensemble des newsletters d'une boîte, évalue leur taux d'ouverture et envoie si besoin une demande de désabonnement. Sur Facebook, l'application liste l'ensemble des annonceurs publicitaires qui ont accès aux données de l'utilisateur.
"Les gens ne se rendent pas toujours compte de l'ampleur du phénomène. Via la fonctionnalité Facebook Connect, certaines entreprises peuvent avoir accès à votre liste d'amis, publier un post ou envoyer des messages privés en votre nom... ", alerte Mickaël Épin, cofondateur de Skeep. Cette dernière permet de restreindre les droits d'accès de ces sociétés via Facebook Connect mais aussi de limiter les publicités ciblées. Un simple clic sur une publicité ou un like sur un post sponsorisé permet au réseau social d'établir une liste des centres d'intérêt de l'utilisateur et d'en alerter les annonceurs.
"En faisant le test, j'avais plus de 200 centres d'intérêt rencensés par Facebook. Parfois, ça fait peur. Certaines villes où j'avais voyagé récemment en faisait partie via la géolocalisation", poursuit l'entrepreneur toulousain.
L'application permet de lister sur Facebook l'ensemble des annonceurs publicitaires qui ont accès aux données de l'utilisateur (Capture d'écran : Skeep). Il relève également que les groupes de presse s'allient pour faire circuler les données numériques sur leurs lecteurs à l'image de l'alliance Gravity (qui regroupe notamment Les Échos, Le Parisien, La Dépêche du Midi mais aussi La Fnac). Déjà 100 000 utilisateurs Deux mois après son lancement, Skeep a déjà conquis plus de 100 000 utilisateurs. Un succès qui peut s'expliquer par l'originalité de l'application. "Plusieurs startups s'étaient déjà lancées dans la gestion des spams mails mais aucune appli n'existait pour contrôler les données sur les réseaux sociaux", fait remarquer Mickaël Épin. La jeune société travaille sur de nouvelles fonctionnalités sur Facebook pour s'assurer par exemple qu'une photo supprimée du mur ne reste pas stockée par le réseau social. Skeep aimerait par ailleurs être disponible pour Instagram ou Twitter. La startup collabore enfin avec la Cnil (Commission nationale de l'informatique et des libertés) pour qu'il soit possible depuis un smartphone de saisir cette autorité en cas d'atteintes à la vie privée sur Internet. Totalement gratuite et sans publicité, Skeep n'utilise pas non plus les données personnelles des utilisateurs. "C'est vraiment disruptif", note Mickaël Épin. Toujours à la recherche d'un modèle économique, la startup aimerait fournir aux entreprises du conseil pour gérer ces droits d'accès aux données. D'autant qu'avec l'entrée en vigueur en mai prochain du RGPD (règlement général sur la protection des données), toutes les entreprises européennes devront nommer un délégué dédié à cette mission. Skeep fait partie de la délégation Occitanie pour le CES de Las Vegas : "Pour nous, c'est l'opportunité d'avoir accès à une exposition mondiale, assure Mickaël Épin. Et puis c'est aussi une manière de montrer aux GAFA gros collecteurs de données personnelles qu'on n'a pas peur d'eux", estime Mickaël Épin, cofondateur de Skeep.
DATE-CHARGEMENT: 10 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBOB
Copyright 2018 La Tribune
Tous droits réservés
151 of 500 DOCUMENTS
Le Cercle
mercredi 10 janvier 2018
Sans maîtrise de la donnée, l'intelligence artificielle n'est rien
AUTEUR: Sébastien MAZIN-POMPIDOU
RUBRIQUE: ARTICLE
LONGUEUR: 1137 mots
ENCART: Aujourd'hui, pour toute organisation, quelle qu'elle soit, la donnée est centrale. Sa maîtrise est à l'origine de la suprématie des GAFA, NATU et autres BATX chinois. Qu'elle soit structurée ou non, gratuite ou payante, historique ou en temps réel, la donnée est, à ce jour, la clef de voûte de la performance des entreprises et administrations contemporaines.
Aujourd'hui, pour toute organisation, quelle qu'elle soit, la donnée est centrale. Sa maîtrise est à l'origine de la suprématie des GAFA, NATU et autres BATX chinois. Qu'elle soit structurée ou non, gratuite ou payante, historique ou en temps réel, la donnée est, à ce jour, la clef de voûte de la performance des entreprises et administrations contemporaines.
Le volume mondial de données numériques va exploser d'ici 2020. Cette année, l'humanité produira 1 000 milliards de milliards de données numériques chaque semaine*. D'après un rapport du cabinet de recherche IDC, c'est l'internet des objets qui sera à l'origine de cette croissance exponentielle puisqu'il fera doubler la taille de l'univers numérique tous les 2 ans.
Depuis 20 ans, les entreprises savent stocker les grandes quantités de données. Avec l'apparition du Cloud, elles peuvent le faire de façon plus rapide et plus abordable. Cette innovation permet une meilleure exploitation de la puissance de calcul et de stockage sur des serveurs informatiques distants. Désormais, avec les technologies associées au Big Data, on sait le faire pour un coût encore amoindri et avec une grande scalabilité.
Les architectures techniques actuelles permettent d'explorer ces données et d'en extraire en temps réel des connaissances utiles à l'activité commerciale. Cette extraction de données est aujourd'hui l'affaire du data mining. C'est par l'exploration de données - structurées ou non structurées - via des algorithmes reposant sur des statistiques et/ou de l'intelligence artificielle que nous allons extraire de nos lacs de données des connaissances, du savoir.
Et c'est bien cela le nerf de la guerre : la Connaissance. Dans son livre paru fin 2017, "La guerre des intelligences", le docteur Laurent Alexandre met en avant, d'une part, comment les grands acteurs de l'économie d'aujourd'hui dominent le monde et d'autre part, pourquoi l'intelligence artificielle est la raison pour laquelle cette domination est vouée à perdurer.
Revenons à la donnée. À sa création. Elle est protéiforme et d'origines variées. Elle peut venir d'une montre connectée - facile à visualiser - de cookies sur internet, d'une poupée connectée, d'un capteur en supermarché ou encore d'un relevé de carte bleue. Presque tout, dans notre environnement, peut fournir ou fournit déjà de la data.
Le premier sujet est : comment stocker ces données ? Pour cela, une analyse en amont est indispensable. En effet, de plus en plus de réglementations, comme la RGPD en Europe - Règlement Général sur la Protection des Données - imposent aux sociétés de sécuriser leurs données de façons différentes selon la nature de celles-ci. Une donnée personnelle de type âge, poids ou revenu n'est pas aussi sensible qu'une donnée sur le nombre de voitures bleues qui passent dans la rue Navier du 17e arrondissement de Paris.
C'est à ce moment précis qu'une entreprise ne doit pas commettre d'impair. En choisissant telle ou telle solution de stockage, elle doit être certaine de respecter les lois en fonction des pays et le niveau de sécurité (de stockage et de process dans le traitement) en fonction de la donnée, mais aussi de veiller à la rendre accessible rapidement pour satisfaire les besoins du business et du législateur, le tout en tenant compte du profil et des autorisations de l'utilisateur qui intervient. Le régulateur est d'ailleurs de plus en plus gourmand en matière de reporting, nous y reviendrons plus tard.
C'est parce qu'il permet de faire face aux contraintes de stockage et de sécurité citées ci-dessus que le Cloud connait une telle croissance. Il peut répondre à ces problématiques tout en permettant aux entreprises de collecter toujours plus de données.
Autre point : quel est l'intérêt de collecter toujours plus de données ? La réponse est simple : améliorer les performances. Prenons l'exemple simple de l'assurance. Imaginez qu'un assureur veuille lancer un nouveau produit ou tout simplement répondre à un besoin client - les deux sont souvent liés. Sans data à exploiter, travailler et manipuler, comment sortir un prix qui tienne compte du risque spécifique à couvrir ? En d'autres termes, si vous n'avez pas de recul, il est difficile de fixer un prix ou de définir une probabilité fiable. En revanche, imaginez que cet assureur ait déjà recensé et collecté sur les 5 dernières années tous les cas où le risque à couvrir est apparu et tous les facteurs associés à ces cas. Il saura alors fixer son prix au plus juste, lui permettant de dégager des marges tout en proposant un prix attractif à ses clients.
Cet exemple, simple à comprendre, peut désormais, avec une gestion de données optimale s'appliquer à toutes sortes de business. Plus on a de donnée et mieux elle est traitée, plus les prix sont pertinents et plus les campagnes marketing sont efficaces, et plus une entreprise est performante. D'un autre point de vue, plus la donnée est maîtrisée, moins le coût de production des reportings réglementaires augmente.
En effet, depuis ces dernières années, le volume des informations à fournir accroît ainsi que la fréquence. A contrario, les délais de remise de ces reportings eux, se réduisent. Que ce soit pour se mettre en conformité avec les réglementations bâloise, Dodd Franck, Sapin ou GDPR, les banques dépensent chaque année dans leur système d'informations des centaines de millions d'euros. La principale raison étant que ces reportings sont obligatoires et que les banques ont toujours plus de données à traiter.
Au-delà de son importance stratégique, la data a bien plus de valeur qu'il n'y parait. D'après une étude du BCG, la valeur marchande annuelle des données personnelles laissées gratuitement par les internautes serait de 1 000 milliards de dollars. En parallèle, l'intelligence artificielle occupe de plus en plus de place dans nos vies. Cette IA repose sur les techniques de deep learning qui permettent aux machines d'apprendre par elles-mêmes. Pour le moment, cet apprentissage n'est possible que grâce à de grandes quantités de données. Car pour apprendre, les machines doivent encore être nourries d'une abondante quantité de data.
En effet, s'il suffit à un enfant de regarder quelques images de voiture pour être capable d'en pointer une du doigt en disant "voiture" dans la rue, il faut pour le moment toujours plusieurs millions d'images de voiture parcourues par la machine avant que celle-ci ne sache en reconnaître. En revanche, cet apprentissage prend de moins de temps et en prendra toujours de moins en moins. L'intelligence artificielle apportera ce qu'internet a apporté il y a 15 ans : un nouveau paradigme riche en opportunités. Tâchons de ne pas les laisser filer en traitant dès aujourd'hui nos datas comme elles le méritent.
Sébastien MAZIN-POMPIDOU
*D'après le livre du Dr Laurent Alexandre La guerre des intelligences.
DATE-CHARGEMENT: 11 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
152 of 500 DOCUMENTS
La Tribune
Mardi 9 Janvier 2018
Nadia Pellefigue dévoile les nouvelles aides régionales pour les startups
AUTEUR: Florine Galéron
RUBRIQUE: TERRITOIRES; Pg. 65
LONGUEUR: 972 mots
ENCART: Série CES Las Vegas (1/5). À l'occasion du salon mondial de l'électronique qui se tient actuellement à Las Vegas, Nadia Pellefigue, vice-présidente de la Région Occitanie en charge du Développement économique et de l'Innovation, nous explique comment les startups sont préparées à ce rendez-vous. Elle revient aussi sur les trois nouvelles subventions régionales actées fin décembre à destination des jeunes sociétés innovantes.
La Région Occitanie envoie une délégation de 60 startups au CES (Consumer Electronic Show) de Las Vegas qui se tient du 9 au 12 janvier. Au-delà du soutien financier, quel est votre rôle dans la préparation des jeunes entreprises à ce rendez-vous incontournable de l'univers high-tech? C'est la quatrième année que la Région envoie une délégation. Effectivement, avoir son propre stand sur le salon coûte très cher à une entreprise (1 000 dollars le m2, rien que pour l'espace, NDLR). Et puis, au lieu d'être éparpillées aux quatre coins du salon, avec la délégation, les startups sont réunies sous la bannière régionale. Cela leur permet une certaine visibilité mais aussi de montrer qu'elles sont intégrées dans un écosystème fort. L'objectif principal n'est pas d'avoir un beau stand mais bien de décrocher des rendez-vous en B2B. C'est pourquoi la Région accompagne les entreprises bien en amont du CES de Las Vegas. Nous les préparons à l'exercice du pitch, savoir présenter son innovation en un temps limité en langue anglaise. Certaines startups développent
4-5 produits en parallèle, nous les aidons à cibler le bon produit à présenter au salon. Sur place nous les mettons en relation avec la presse américaine pour décrocher des articles. L'objectif de cet accompagnement est que le maximum de startups accède à l'Eureka Park qui est l'endroit le plus prestigieux du salon. Il ne faut pas oublier que le CES s'étend sur 44 kilomètres ! Cette année 20 des 60 entreprises de la délégation régionale seront à l'Eureka Park. Quel est l'impact du CES sur les startups régionales ? Le taux de conversion (volume de contrats signés, ndlr) est très bon. Certaines startups ont multiplié par quatre leur chiffre d'affaires à l'international depuis leur participation au CES. La Région Occitanie a acté fin décembre trois nouveaux dispositifs financiers d'accompagnement des startups. Pourquoi et pouvez-vous nous donner quelques détails sur ces aides ? Lancer sa société quand on n'a aucun capital de départ, c'est très difficile. Nous allons déployer un soutien à l'émergence (baptisé Start'oc projet, cet appel à projets pourra aller jusqu'à 5 000 euros par startup sélectionnée, NDLR). Ensuite, nous avons observé que la Région affiche un très bon taux de création de startups (Selon une étude de l'observatoire parisien Trendeo, Toulouse est - derrière Paris - la deuxième ville française en nombre de sociétés et d'emplois créés par les startups). Le taux de pérennisation en revanche est moins bon : une startup sur deux meurt dans les deux années qui suivent sa création. On perd un potentiel de création d'emplois puisque dans sa première année d'existence, la startup est souvent composée uniquement du fondateur. Or, nous avons aussi remarqué que le taux de pérennisation remonte à 80% dans les deux ans si la startup est accompagnée. Nous avons donc lancé un dispositif pour cette période d'amorçage de la startup (entre 3 et 5 ans après la création de la société) afin que ces startups aient les ressorts financiers pour se développer (ce dispositif baptisé Start'oc process peut aller jusqu'à 50 000 euros de subvention et 200 000 euros sous forme d'avance remboursable, NDLR). Enfin, nous avons aussi un appel à projets très sélectif (nommé Start'oc progrès) pour soutenir l'accélération des startups régionales à fort potentiel. Les jeunes pousses seront mis en concurrence et pourront toucher une aide de 1 à 2 millions d'euros. Il s'agit surtout de créer un effet levier dans l'optique d'une levée de fonds beaucoup plus conséquente en donnant une garantie aux investisseurs. Il faut savoir qu'un euro investi par la Région génère entre 6 et 12 euros de fonds par les investisseurs. Aujourd'hui, les startups peuvent obtenir des aides financières par de nombreux biais : concours d'innovation, BPI France, collectivités... Pourquoi y a-t-il encore besoin de nouvelles subventions ? Pour toutes les raisons évoquées plus haut et puis aussi car à la différence des États-Unis, il existe beaucoup moins de venture capital (capital-risque) et de business angels en France. ll est donc plus difficile pour les startups d'accéder à ces fonds. C'est aussi pour cette raison que le CES de Las Vegas est important. Lors de la venue fin décembre à Toulouse du secrétaire d'État au Numérique Mounir Mahjoubi, la dizaine de startups présente a souligné "les lourdeurs administratives",
la difficulté d'accès à la commande publique pour signer des contrats avec les collectivités. Que met en place la Région Occitanie pour inverser la tendance ? La Région Occitanie a signé une convention innovation avec l'Ugap, la centrale d'achat dédiée à la commande publique, pour intégrer les produits des startups régionales dans le catalogue. Quelques mois plus tard, la métropole de Montpellier a signé une convention similaire. Par ailleurs, lors du dernier congrès des maires de France, nous avons mis en avant sur notre stand cinq startups régionales dans le secteur des
civic tech. À partir du mois de mai 2018, toutes les entreprises devront se conformer au RGPD (règlement européen pour la protection des données), imposant notamment à toutes les sociétés, y compris les startups d'assurer la protection des données utilisateurs. Comment la Région peut aider les startups à mettre en place ce dispositif ? Je crois qu'il y a un enjeu à plus long-terme puisque la Région Occitanie est une grande productrice de données avec tout le secteur du spatial. Mais aujourd'hui, qui exploite les données mis en accès libre par le programme spatial européen Copernicus ? Ce ne sont pas des startups régionales mais plutôt Google qui capte nos données. L'Occitanie a lancé avec le Cnes un comité de pilotage pour créer un centre de formation régional data-scientist.
Nadia Pellefigue mènera la délégation régionale au CES de Las Vegas. (892749.png)
DATE-CHARGEMENT: 8 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2018 La Tribune
Tous droits réservés
153 of 500 DOCUMENTS
Le Cercle
mardi 9 janvier 2018
L'avalanche des cyber-risques
AUTEUR: Bertrand Venard
RUBRIQUE: ARTICLE; Des préjudices informationnels et organisationnels
LONGUEUR: 897 mots
ENCART: Les failles dans les processeurs Meltdown et Spectre découvertes en 2018 révèlent encore plus la fragilité des dispositifs de cybersécurité. Déjà en 2017, Wannacry avait infecté plus de 300 000 ordinateurs dans 150 pays. Résultat : la cybersécurité est devenue un des enjeux majeurs des chefs d'entreprise en 2018. Quels sont les préjudices potentiels pour les organisations victimes d'une cyberattaque?
Les cybercrimes contre les entreprises, organismes publiques et individus permettent de dresser une liste des cyber risques, sachant que ces dangers dépendent du contexte de la victime et du type d'attaque.
Des préjudices informationnels et organisationnels
Le premier risque est informationnel. Ainsi, l'objectif d'un pirate peut être de pénétrer les systèmes d'information de sa cible pour modifier, détruire, voler des informations ou prendre le contrôle du système d'information. Si derrière le pirate se cache un concurrent, des informations stratégiques et confidentielles peuvent être entre les mains d'une entreprise adverse qui pourra exploiter ces informations pour mieux dominer son marché.
Un autre risque concerne l'organisation et ses processus. En touchant les systèmes d'information, les criminels remettent en cause l'intégrité de l'information et le bon fonctionnement des processus. Une entreprise industrielle peut ainsi devoir arrêter sa production. En mai 2017, le site de Renault à Douai a été fermé suite à la propagation du « ransomware » WannaCrypt. L'histoire de la cybersécurité montre que l'impact organisationnel d'une cyberattaque peut être considérable. En effet, en mai 2007, un pays entier, l'Estonie fut « mis à plat » par une attaque pilotée depuis la Russie avec des « botnets », des centaines de milliers d'ordinateurs zombis. Cette gigantesque cyberattaque hante depuis l'esprit des spécialistes.
Pendant longtemps, on a imaginé que les préjudices informationnels et organisationnels étaient les principaux. Cependant, des cyberattaques ont aussi occasionnée des dégâts matériels. Ainsi, l'attaque Stuxnet a détruit en 2010 des centrifugeuses iraniennes d'enrichissement d'uranium. Stuxnet fut ainsi décrite comme le premier missile destructeur des cyberguerres.
Des conséquences marketing et commerciales
De plus, une cyberattaque peut avoir des conséquences marketing et commerciales. Deloitte qui vend des solutions contre la cybersécurité vient d'en faire l'amère expérience. Vendre des prestations contre les cyber risques et se faire pirater n'est pas une bonne publicité. La crédibilité d'une société victime d'un cybercrime peut s'en trouver écornée. Que penser d'une agence de notation comme Equifax qui laisse fuiter des informations confidentielles sur 145,5 millions de clients américains ? Méfiants, les utilisateurs peuvent se détourner de l'entreprise « hackée ». L'entreprise victime perdra alors des clients et des parts de marché. Par ailleurs, dans les fichiers interceptés par les pirates, des informations sur les clients peuvent éventuellement permettre à des concurrents indélicats de les contacter avec des offres commerciales adaptées.
Un risque légal pèse aussi sur les victimes. Le cadre légal ne cesse de changer dans ce domaine. Ainsi, la directive sur la sécurité des réseaux et des systèmes d'information (adoptée le 6 juillet 2016, connue sous l'appellation « directive NIS », Network and Information Systems) stipule notamment des règles de cybersécurité et l'obligation de notifier les incidents ayant un impact sur la continuité de leurs services. Les exigences légales se trouvent renforcées dans la protection des données, qui évolue dans le sens d'une plus forte protection accordée aux citoyens dans ce domaine telle que définie par le RGPD (Règlement Général européen sur la Protection des Données personnelles, avec une entrée en vigueur en mai 2018).
Le piratage d'Equifax = une perte de capitalisation de 3,4 milliards de dollars !
Evidemment, les conséquences précédentes engendrent un risque financier important. Ce coût financier est composé des frais des consultants et d'avocats appelés pour réparer les dégâts, pertes financières consécutives à la perte de marché ou l'arrêt de la production, coût découlant de la perte d'information stratégique, amendes infligées par les autorités, rançons éventuelles à des pirates. Par exemple, une cyberattaque peut entraîner une baisse importante du cours de l'action de la victime. Ainsi, quand Equifax a annoncé le 6 septembre 2017 avoir été victime d'un piratage, le cours de son action a perdu 35% de sa valeur en seulement une semaine. A la fin de l'année 2017, l'action avait un cours inférieur de plus de 17% par rapport à son cours maximum de l'année 2017, soit une perte de capitalisation boursière de 3,4 milliards de dollars !
Enfin, une cyberattaque peut avoir de conséquences humaines dévastatrices. Suite à un piratage, l'entreprise victime vivra une déstabilisation profonde du corps social avec le licenciement des responsables, des peines de prison, le départ volontaire de hauts potentiels. L'annonce par le PDG d'Uber d'un piratage massif de données concernant presque 60 millions de clients et chauffeurs a entraîné rapidement des licenciements. Autrefois auréolée comme une entreprise digitale prometteuse, Uber peut être maintenant perçue avec défiance par ses salariés et partenaires. Face à un cybercrime, le sommet stratégique est aussi touché. Aux commandes depuis 2005, le Président d'Equifax a été contraint à la démission le 26 septembre 2017, se faisant aussi pointer du doigt comme « incompétent » par des sénateurs américains.
Face à l'avalanche de dangers, les décideurs ne peuvent plus sortir un simple parapluie en s'exclamant « je ne savais pas » sachant que les prochaines cyberattaques seront encore plus dures et spectaculaires.
DATE-CHARGEMENT: 11 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
154 of 500 DOCUMENTS
Les Echos.fr
mardi 9 janvier 2018
Protection des données : Darty sanctionné par la CNIL
AUTEUR: SOPHIE AMSILI
RUBRIQUE: ARTICLE; Faire appel à un prestataire « ne décharge pas » Darty
LONGUEUR: 708 mots
ENCART: Le distributeur écope d'une amende de 100.000 euros pour ne pas avoir protégé les données d'un formulaire en ligne créé par un prestataire externe.
Darty est épinglé pour ne pas avoir suffisamment protégé les données de ses clients. La Commission nationale de l'informatique et des libertés (CNIL) a annoncé ce mardi avoir infligé une sanction de 100.000 euros à l'encontre du groupe d'électroménager pour avoir « manqué à son obligation de sécurité des données personnelles ».
En cause, un formulaire de demande de service après-vente en ligne développé par un prestataire externe : « une défaillance de sécurité » permettait à un tiers « d'accéder librement » à « plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients », explique la formation restreinte de la CNIL dans un communiqué.
La Commission précise avoir été informée de cette défaillance en février 2017 par un éditeur en ligne « spécialisé dans la sécurité des systèmes d'information ». Ses équipes l'ont confirmée lors d'un premier contrôle, en ligne, début mars et ont prévenu Darty.
Faire appel à un prestataire « ne décharge pas » Darty
Mais lors d'un second contrôle sur place, quinze jours plus tard, le problème demeure. La CNIL dit avoir « constaté que les fiches des clients étaient toujours accessibles [...] et que de nouvelles fiches avaient été créées dans ce laps de temps ». Toutefois, le soir même, Darty informait les services de la CNIL de « mesures prises pour remédier à cet incident ».
Que le formulaire ait été développé par un prestataire n'est pas une circonstance atténuante pour la CNIL : « le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son l'obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement », écrit-elle. Quant au fait que le formulaire n'était, selon Darty, de toute manière pas utilisé, la CNIL insiste : le groupe aurait dû « désactiver les fonctionnalités ou modules d'un outil qui ne seraient pas utilisés ou pas nécessaires ».
Darty se réserve la possibilité d'un recours
Plus généralement, la CNIL reproche à Darty de ne pas avoir procédé à une « vérification préalable d'absence de vulnérabilité » des outils et de ne pas avoir revu ces derniers « de façon régulière ». Elle souligne néanmoins avoir tenu compte de l'initiative du groupe « de diligenter un audit de sécurité après cette atteinte à la sécurité » et de « sa bonne coopération ».
De son côté Darty se dit « étonné » de la décision de la CNIL car la fonctionnalité mise en cause a été mise en oeuvre par le prestataire « à l'insu » du groupe et que la « potentielle faille de sécurité » qu'elle comportait a été « corrigée par le prestataire. Le groupe dit se réserver la possibilité d'« un éventuel recours » devant le Conseil d'Etat.
Pouvoir de sanction renforcé
La CNIL dispose d'un pouvoir de sanction renforcé depuis la loi République numérique entrée en vigueur le 7 octobre 2016. L'amende maximale qu'elle peut infliger a été portée de 150.000 à 3 millions d'euros. Une peine à laquelle a échappé Facebook en mai dernier, condamné à 150.000 euros d'amende pour des faits antérieurs à l'entrée en vigueur de la loi de « combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire ».
Lire aussi :
Isabelle Falque-Pierrotin : « La CNIL n'est pas là que pour sanctionner »
UFC-Que Choisir assigne La Fnac et Amazon sur les objets connectés
C'est le groupe Hertz France qui, en juillet dernier, a écopé le premier d'une sanction pécuniaire depuis la loi République numérique : une amende de 40.000 euros après une violation de données personnelles sur l'un de ses sites due à une erreur d'un prestataire.
La CNIL reste ainsi bien loin du montant maximal de ses sanctions. Qui grimpera de nouveau très bientôt - le 25 mai prochain - à 20 millions d'euros ou 4 % du chiffre d'affaires, dans le cadre du Règlement européen sur la protection des données personnelles (RGPD).
Contributor:
Voir aussi:
[31/10/2016] Données personnelles : les règles du jeu
DATE-CHARGEMENT: 10 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Groupe Les Echos
tous droits réservés
155 of 500 DOCUMENTS
La Tribune - Objectif news - (Midi Pyrénées)
Lundi 8 Janvier 2018
Nadia Pellefigue dévoile les nouvelles aides régionales pour les startups
AUTEUR: Florine Galéron
RUBRIQUE: ÉCONOMIE; DÉVELOPPEMENT ÉCONOMIQUE
LONGUEUR: 958 mots
ENCART: Série CES Las Vegas (1/5). À l'occasion du salon mondial de l'électronique qui se tient actuellement à Las Vegas, Nadia Pellefigue, vice-présidente de la Région Occitanie en charge du Développement économique et de l'Innovation, nous explique comment les startups sont préparées à ce rendez-vous. Elle revient aussi sur les trois nouvelles subventions régionales actées fin décembre à destination des jeunes sociétés innovantes.
La Région Occitanie envoie une délégation de 60 startups au CES (Consumer Electronic Show) de Las Vegas qui se tient du 9 au 12 janvier. Au-delà du soutien financier, quel est votre rôle dans la préparation des jeunes entreprises à ce rendez-vous incontournable de l'univers high-tech? C'est la quatrième année que la Région envoie une délégation. Effectivement, avoir son propre stand sur le salon coûte très cher à une entreprise (1 000 dollars le m2, rien que pour l'espace, NDLR). Et puis, au lieu d'être éparpillées aux quatre coins du salon, avec la délégation, les startups sont réunies sous la bannière régionale. Cela leur permet une certaine visibilité mais aussi de montrer qu'elles sont intégrées dans un écosystème fort. L'objectif principal n'est pas d'avoir un beau stand mais bien de décrocher des rendez-vous en B2B. C'est pourquoi la Région accompagne les entreprises bien en amont du CES de Las Vegas. Nous les préparons à l'exercice du pitch, savoir présenter son innovation en un temps limité en langue anglaise. Certaines startups développent
4-5 produits en parallèle, nous les aidons à cibler le bon produit à présenter au salon. Sur place nous les mettons en relation avec la presse américaine pour décrocher des articles. L'objectif de cet accompagnement est que le maximum de startups accède à l'Eureka Park qui est l'endroit le plus prestigieux du salon. Il ne faut pas oublier que le CES s'étend sur 44 kilomètres ! Cette année 20 des 60 entreprises de la délégation régionale seront à l'Eureka Park. Quel est l'impact du CES sur les startups régionales ? Le taux de conversion (volume de contrats signés, ndlr) est très bon. Certaines startups ont multiplié par quatre leur chiffre d'affaires à l'international depuis leur participation au CES. La Région Occitanie a acté fin décembre trois nouveaux dispositifs financiers d'accompagnement des startups. Pourquoi et pouvez-vous nous donner quelques détails sur ces aides ? Lancer sa société quand on n'a aucun capital de départ, c'est très difficile. Nous allons déployer un soutien à l'émergence (baptisé Start'oc projet, cet appel à projets pourra aller jusqu'à 5 000 euros par startup sélectionnée, NDLR). Ensuite, nous avons observé que la Région affiche un très bon taux de création de startups (Selon une étude de l'observatoire parisien Trendeo, Toulouse est - derrière Paris - la deuxième ville française en nombre de sociétés et d'emplois créés par les startups). Le taux de pérennisation en revanche est moins bon : une startup sur deux meurt dans les deux années qui suivent sa création. On perd un potentiel de création d'emplois puisque dans sa première année d'existence, la startup est souvent composée uniquement du fondateur. Or, nous avons aussi remarqué que le taux de pérennisation remonte à 80% dans les deux ans si la startup est accompagnée. Nous avons donc lancé un dispositif pour cette période d'amorçage de la startup (entre 3 et 5 ans après la création de la société) afin que ces startups aient les ressorts financiers pour se développer (ce dispositif baptisé Start'oc process peut aller jusqu'à 50 000 euros de subvention et 200 000 euros sous forme d'avance remboursable, NDLR). Enfin, nous avons aussi un appel à projets très sélectif (nommé Start'oc progrès) pour soutenir l'accélération des startups régionales à fort potentiel. Les jeunes pousses seront mis en concurrence et pourront toucher une aide de 1 à 2 millions d'euros. Il s'agit surtout de créer un effet levier dans l'optique d'une levée de fonds beaucoup plus conséquente en donnant une garantie aux investisseurs. Il faut savoir qu'un euro investi par la Région génère entre 6 et 12 euros de fonds par les investisseurs. Aujourd'hui, les startups peuvent obtenir des aides financières par de nombreux biais : concours d'innovation, BPI France, collectivités... Pourquoi y a-t-il encore besoin de nouvelles subventions ? Pour toutes les raisons évoquées plus haut et puis aussi car à la différence des États-Unis, il existe beaucoup moins de venture capital (capital-risque) et de business angels en France. ll est donc plus difficile pour les startups d'accéder à ces fonds. C'est aussi pour cette raison que le CES de Las Vegas est important. Lors de la venue fin décembre à Toulouse du secrétaire d'État au Numérique Mounir Mahjoubi, la dizaine de startups présente a souligné "les lourdeurs administratives",
la difficulté d'accès à la commande publique pour signer des contrats avec les collectivités. Que met en place la Région Occitanie pour inverser la tendance ? La Région Occitanie a signé une convention innovation avec l'Ugap, la centrale d'achat dédiée à la commande publique, pour intégrer les produits des startups régionales dans le catalogue. Quelques mois plus tard, la métropole de Montpellier a signé une convention similaire. Par ailleurs, lors du dernier congrès des maires de France, nous avons mis en avant sur notre stand cinq startups régionales dans le secteur des
civic tech. À partir du mois de mai 2018, toutes les entreprises devront se conformer au RGPD (règlement européen pour la protection des données), imposant notamment à toutes les sociétés, y compris les startups d'assurer la protection des données utilisateurs. Comment la Région peut aider les startups à mettre en place ce dispositif ? Je crois qu'il y a un enjeu à plus long-terme puisque la Région Occitanie est une grande productrice de données avec tout le secteur du spatial. Mais aujourd'hui, qui exploite les données mis en accès libre par le programme spatial européen Copernicus ? Ce ne sont pas des startups régionales mais plutôt Google qui capte nos données. L'Occitanie a lancé avec le Cnes un comité de pilotage pour créer un centre de formation régional data-scientist.
DATE-CHARGEMENT: 8 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBOB
Copyright 2018 La Tribune
Tous droits réservés
156 of 500 DOCUMENTS
Les Echos
lundi 8 janvier 2018
Les entreprises en quête de légitimité sur la collecte des données personnelles
AUTEUR: NICOLAS MADELAINE
RUBRIQUE: ARTICLE; Un « Nonio » pour la France; Pg. 21 N°. 22608
LONGUEUR: 540 mots
ENCART: Bruxelles durcit les règles sur l'utilisation des données personnelles.La plupart des entreprises de publicité en ligne savent qu'elles devront obtenir un consentement plus clair des internautes pour collecter leurs données.
A la dernière conférence média des « Echos », le philosophe Gaspard Koenig avait mis sur la table une idée décoiffante pour réviser le droit de propriété privée des données personnelles : obliger ceux qui les utilisent dans le but de générer des revenus publicitaires à les payer aux internautes. Les représentants des plates-formes ou des éditeurs en ligne n'ont bien sûr pas tout de suite sorti leur carnet de chèques. Mais, et c'est notable, ils se sont montrés moins opposés au projet qu'on aurait pu s'y attendre.
Leur premier réflexe a été en effet de penser que la plupart des internautes transmettraient leurs données en échange d'un service gratuit. « Comme ils le font aujourd'hui : les données personnelles sont en fait déjà rémunérées car les gens savent bien que la gratuité n'existe pas », dit un patron de presse. Le second réflexe a été d'espérer que ce droit de propriété légitimerait peut-être une collecte de données aujourd'hui souvent vécue par les citoyens comme un espionnage sournois. Pour les entreprises du Web, rémunérer la donnée irait trop loin. « L'idée est intéressante mais cela renchérirait les services fournis et cela appauvrirait l'expérience client, dit Béatrice Lhopitallier, directrice data pour Les Echos-Le Parisien. Des services comme les applis de circulation automobile n'ont de valeur que si leurs membres partagent leurs données. » Sans compter qu'il y a des craintes que la rémunération de la donnée soit une « machine à gaz ». En outre, plusieurs start-up (People.io, MesInfos, Cashinfo) existent déjà qui permettent aux citoyens de vendre leurs données aux marques ou de les récupérer. Elles restent petites.
Un « Nonio » pour la France
Cela dit, les directives européennes ePrivacy et Règlement général sur la protection des données (RGPD) destinées à protéger les données personnelles montrent bien dans quel sens le vent politique souffle.
Elles ont beau fragiliser les médias d'information à un moment déjà difficile et ne pas affecter autant les géants du Net sur lesquels on se « logge » (ou s'inscrit) et, donc, on consent à céder ses données, rien ne semble pouvoir arrêter ces initiatives. De toute façon, les navigateurs Web intègrent de plus en plus des fonctions stoppant tout cookie. Les éditeurs savent donc qu'ils vont devoir obtenir un consentement plus clair de leurs internautes sur leurs données. Béatrice Lhopitallier note que ceux qui vivent de la pub en ligne vont devoir se pencher sur leur « marketing de la privacy », autrement dit leur capacité à convaincre les internautes que la collecte de leurs données est faite de manière responsable et permet de fournir des services moins chers. Pour ne pas être paralysés par les directives ePrivacy ou les initiatives anti-cookies des navigateurs, plusieurs médias ou éditeurs réfléchissent au sein du comité data de Médiamétrie à un « login » commun enregistrant les internautes directement sur tous leurs sites et qui rendrait ces derniers, ensemble, aussi puissants en données qu'un Facebook. Un tel projet, baptisé « Nonio », existe au Portugal. Il regroupe des sites concentrant 85 % du trafic à eux seuls. Pour que les internautes acceptent de s'inscrire, le minimum sera qu'ils aient confiance...
DATE-CHARGEMENT: 8 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
157 of 500 DOCUMENTS
Les Echos
lundi 8 janvier 2018
Gaspard Koenig : « Chaque citoyen doit pouvoir vendre ses données personnelles »
AUTEUR: NICOLAS MADELAINE
RUBRIQUE: INTERVIEW_SOUS; Pg. 21 N°. 22608
LONGUEUR: 1095 mots
ENCART: Le think tank GenerationLibre va publier dans quelques semaines un rapport prônant un droit de propriété privée des données personnelles. Son président, Gaspard Koenig, explique aux « Echos » pourquoi les citoyens doivent pouvoir vendre leurs données et choisir celles qu'ils veulent conserver.
Vous voulez promouvoir un droit de propriété privée pour les données personnelles. Pourquoi ?
Il s'agit de rendre aux citoyens ce qui leur appartient. Tous les jours, nous acceptons des dizaines de cookies sur nos ordinateurs et cliquons « OK » sur des conditions d'utilisation léonines qui nous dépossèdent de nos données personnelles, y compris les plus intimes. Or si la data est bien cet « or noir » du XXIe siècle, il n'y a pas de raison de ne pas payer les producteurs - nous - sans laisser aux raffineurs (les agrégateurs et les plates-formes) l'intégralité des revenus liés à l'exploitation des data. On peut par exemple se rendre compte de la valeur monétaire de nos posts sur Facebook grâce au « Data Valuation Tool ». A l'inverse, chacun doit pouvoir arbitrer les données personnelles qu'il ne souhaite pas partager. Quand j'achète une voiture, j'ai envie qu'elle m'appartienne pour de bon, pas qu'elle alimente le constructeur en données sur ma géolocalisation, mon comportement et mes excès de vitesse... Chaque citoyen doit pouvoir choisir entre vendre ses données aux plates-formes vivant du retargeting publicitaire, ou les conserver (quitte alors à payer le prix du service).
Aucun pays au monde ne l'a fait...
J'espère bien que nous allons contribuer à faire monter ce débat avec le rapport que nous publierons dans quelques semaines. Nous allons bien sûr le traduire en anglais et le défendre au niveau européen. Aujourd'hui, les politiques ne comprennent rien au sujet. Mais le thème est très populaire tout simplement car cela peut représenter des revenus supplémentaires pour les gens.
Comment faire ?
Après dix ans de chaos dans la data, il est clair qu'une nouvelle forme de régulation est nécessaire. Il y a trois options. Créer une sorte d'agence nationale des données personnelles qui serait chargée de mettre des data encryptées à disposition des entreprises, sous certaines conditions. C'est le communisme. Ou alors, créer des droits pour les citoyens et des obligations pour les plates-formes qui collectent les données : c'est ce qu'ont choisi de faire la Commission européenne et divers régulateurs nationaux comme la CNIL en France. Le risque est alors d'aboutir à une judiciarisation excessive de l'économie digitale et d'étouffer l'innovation. Nous proposons une troisième option, qui peut s'articuler avec la précédente : celle de la patrimonialité des données pour permettre aux entreprises de se les approprier après avoir justement rémunéré les citoyens. La révolution industrielle a rendu nécessaire un droit de propriété intellectuelle sur les brevets. C'était déjà une construction sociale. Il serait logique aujourd'hui d'étendre le droit de la propriété privée aux données personnelles. De nombreuses voix, aux Etats-Unis notamment, commencent à s'élever en ce sens.
Qu'en pensent les entreprises que vous avez sondées ?
Les plates-formes, les éditeurs et les agences de pub pourraient perdre des profits, c'est certain. Mais les entreprises s'intéressent sérieusement à notre modèle car elles comprennent la menace qui vient de la logique du Règlement général sur la protection des données (RGPD), le nouveau règlement européen sur la protection des données personnelles qui entre en vigueur en mai 2018. Or, elles se disent que finalement elles préfèrent payer pour avoir de la data et faire ce qu'elles en veulent. Cela dit, ce n'est pas notre rôle d'anticiper les rééquilibrages économiques que cette patrimonialité induira. Il y aura sans doute des entreprises innovantes, agissant comme intermédiaires pour permettre aux citoyens de contractualiser leurs données.
Dès lors, à quel tarif vendre les données ?
C'est un calcul complexe qui n'a pas encore été fait. Nous allons publier au second semestre une étude économétrique avec la Toulouse School of Economics qui tentera d'évaluer un tel « marché des data ». Aujourd'hui, selon un calcul grossier, la valeur générée par Facebook via la publicité représenterait une dizaine de dollars par utilisateur et par an : c'est le prix auquel nous vendons notre vie privée ! Jaron Lanier, l'un des pionniers de la réalité virtuelle et l'auteur de « Who Owns the Future ? », imagine un système de « nanopaiements » qui viendrait créditer et débiter en continu un compte digital personnel. On pourrait vendre, louer ou encore laisser en héritage nos données... Notre rapport consacre toute une partie à l'utilisation de la blockchain pour faciliter ces paiements.
Après la vente de données, l'étape d'après, c'est la vente du corps ?
C'est l'objection centrale que font aujourd'hui les juristes à la vente des données personnelles. Pour eux, c'est la porte ouverte à la vente du corps, reconnu « indisponible » par la jurisprudence, et dont le Code civil nous dit qu'il ne peut être l'objet d'un commerce. Mais si l'on entre dans ce débat philosophique, je pense qu'il faut assumer l'idée, posée par John Locke, de « propriété de soi ». Cela aurait des conséquences importantes sur toutes les questions liées à la prostitution, à la GPA, ou au statut du cadavre (et des organes qu'il contient). N'est-il pas anormal, par exemple, qu'aujourd'hui l'hôpital public puisse vendre des cadavres aux chirurgiens qui les achètent pour leurs recherches, sans que la famille ne touche rien au nom de l'indisponibilité du corps ? Et que, pour résoudre l'inadéquation entre la demande et l'offre d'organes, on avance vers une quasi-nationalisation du cadavre (il est de plus en plus difficile de s'opposer au prélèvement des organes), alors qu'un système d'incitations bien conçu pourrait aboutir au même résultat par des moyens plus justes et moins coercitifs ? En ouvrant la possibilité de s'augmenter soi-même, voire de modifier son ADN (ou celui de sa descendance), les biotechnologies vont rendre ces questions brûlantes. Il me semble donc urgent d'introduire dans notre droit la « propriété de soi », substitut à cette indéfinissable « dignité humaine » héritée du judéo-christianisme..
Le risque, c'est que demain, seuls les riches aient droit à une vie privée...
Avec GenerationLibre, le think tank que je dirige, nous avons prôné un revenu universel pendant la campagne présidentielle pour que tout individu puisse subvenir à ses besoins. Il serait logique d'inclure dans le calcul de ce revenu le prix moyen de la réappropriation des données personnelles. Ainsi, la question de la mise sur le marché de ses propres données deviendrait un arbitrage de consommation comme un autre.
Voir aussi:
[24/02/2017] Données personnelles : six conseils pour lancer son chantier « GDPR »
DATE-CHARGEMENT: 8 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
158 of 500 DOCUMENTS
Les Echos
lundi 8 janvier 2018
Les cinq défis des banques françaises en 2018
AUTEUR: Solenn Poullennec
RUBRIQUE: ARTICLE; SAISIR LES OPPORTUNITES DE LA REGULATION; Pg. 26 N°. 22608
LONGUEUR: 857 mots
ENCART: De très lourds chantiers de transformation attendent les établissements bancaires.Et ce, alors que la faiblesse des taux pèse sur leurs marges et les empêche de tirer pleinement parti de la reprise.
L'année 2018 ne sera pas de tout repos pour les banques françaises. Avant même éventuellement de participer à la consolidation en cours du paysage bancaire sur le Vieux Continent,elles devront conduire de très lourds chantiers de transformation. Et ce, alors que la faiblesse des taux continue de peser sur leurs marges et les empêche de tirer tout le profit qu'elles souhaiteraient de la reprise économique.
SAISIR LES OPPORTUNITES DE LA REGULATION
Les établissements bancaires doivent d'abord faire face à une série de nouvelles réglementations qui promettent de rebattre les cartes dans le secteur des services financiers. Depuis quelques jours, les banques d'investissement et les banques privées doivent ainsi encaisser le big bang des nouvelles règles de marché (MiFID II) qui les obligent à revoir la tarification de certains services.
Dès le 18 janvier, les banques de détail seront confrontées à l'entrée en vigueur du cadre européen sur les moyens de paiement (DSP2). Celui-ci instaure des règles de sécurité plus strictes pour les paiements en ligne. Surtout, il pourrait renforcer la concurrence dans le secteur des services financiers en forçant les banques à partager avec les fintech le trésor que constituent les données de leurs clients. Les fintech espèrent ainsi grignoter des parts de marché aux banques et les conduire à externaliser auprès d'elles une partie de leurs offres.
En mai, les établissements bancaires vont également devoir s'adapter à l'entrée en vigueur d'un nouveau règlement européen (RGPD) sur les données.Un règlement qui va forcer les institutions à rendre davantage de comptes aux clients lorsqu'elles utilisent leurs informations personnelles. Et ce, à l'heure où les banques comptent exploiter ces informations de façon de plus en plus intensive pour gagner en efficacité.
accélérer dans la banque mobile
L'autre priorité des banques de détail est de continuer à adapter leurs services aux nouvelles habitudes de leurs clients dont les yeux sont rivés sur les écrans des ordinateurs et téléphones. Elles ont déjà développé des applications mobiles et pour beaucoup des banques complètement en ligne, telle que Boursoramachez Société Générale ou BforBank chez Crédit Agricole.
Certains établissements tardent cependant à lancer leur banque 100 % digitale. Le groupe BPCE, qui a acheté la fintech allemande Fidor en 2016, travaille depuis cette date à en faire sa banque mobile paneuropéenne. Il compte commencer à déployer une partie de son offre en France dans les prochains mois, en développant d'abord une communauté autour des services financiers.
La Banque Postale non plus n'a pas encore concrétisé ses ambitions dans la banque en ligne. Selon nos informations, elle testera sa banque mobile pour l'instant baptisée en interne Neobank en fin d'année avant de la commercialiser au début de 2019, soit près de deux ans plus tard que prévu. « Dès le 1er septembre 2018, les premières équipes vont être recrutées, l'objectif à fin 2019 étant de 160 agents issus en priorité de recrutements internes à La Poste », indique le syndicat FO dans un tract.
résister au renforcement de la concurrence
Ces développements mobiles se font dans un environnement toujours plus concurrentiel. Plusieurs jeunes pousses de la finance telles que N26 et Revolut sont en train de déployer des offres de comptes courants, de moyens de paiement et même de crédit. Par ailleurs, des poids lourds tels qu'Orange avec Orange Bank investissent le champ des services bancaires 2.0 sans hésiter à casser les prix. Des banques ont déjà décidé de contre-attaquer, comme le Crédit Agricole avec son offre à bas prix Ekoou le Crédit Mutuel-CIC qui a lancé Avantoo, une offre couplant services bancaires et mobile.
capitaliser sur les fintech
Soucieuses de ne pas se laisser distancer en matière d'innovation, les banques n'ont pas hésité à monter au capital de fintech, voire à les racheter. Par exemple, le Crédit Mutuel Arkéa a investi dans Linxo ou Younited Credit et a racheté Pumpkin. De son côté, La Banque Postale a mis la main l'année dernière sur la plate-forme de financement participatif KissKissBankBank.
Pour cette dernière, l'année 2018 sera donc le moment d'intégrer pleinement la jeune pousse et de renforcer grâce à elle son offre de financement aux petites entreprises. Plus globalement, les banques devront développer les synergies avec ces nouveaux acteurs sans les étouffer.
réduire les réseaux et refondre les systèmes
Qui dit développement du digital, dit désertion progressive des agences bancaires et réorganisation des réseaux. Société Générale a ainsi annoncé qu'elle allait faire passer son réseau de 2.000 en 2017 à 1.700 agences d'ici à 2020. A cet horizon, BNP Paribas projette d'avoir fermé quelque 200 agences en France, soit près de 10 % de ses points de vente actuels.
La digitalisation exige aussi des banques qu'elles investissent lourdement pour mettre à jour leurs systèmes d'information, par exemple pour être à la page de nouveaux standards de marché tels que celui du paiement instantané. BPCE compte proposer des offres en la matière dès 2018.
DATE-CHARGEMENT: 8 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
159 of 500 DOCUMENTS
Les Echos Executives
lundi 8 janvier 2018
Protection des données personnelles : le gros chantier de l'année
AUTEUR: FLORENT VAIRET
RUBRIQUE: ARTICLE; De quoi s'agit-il ?; Pg. 2 N°. 22608
LONGUEUR: 667 mots
ENCART: Le règlement européen relatif à la protection des données personnelles entrera en vigueur le 25 mai 2018. Mais 60 % des professionnels de la cybersécurité craignent de ne pas pouvoir respecter cette date butoir.
De quoi s'agit-il ?
Le règlement général relatif à la protection des données personnelles (RGDP) renforce des dispositions déjà consacrées en droit français comme le droit à la portabilité des données et celui à l'oubli. « Il ne saurait, dès lors, y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité », précise le règlement.Les citoyens européens vont devoir consentir, de manière systématique, claire et explicite, à toute collecte de leurs données.Et, de leur côté,les entreprises être en mesure d'effacer toutes celles à caractère personnel lorsque celles-ci ne sont plus « nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ». La tenue d'un registre des activités de traitement est rendue obligatoire pour recenser de façon précise les renseignements collectés, leurs finalités et les destinataires prévus. La Cnil en propose un modèle sur son site Internet.
Quand ?
Voté par le Parlement européen le 27 avril 2016, le RGDP devient applicable dans les Etats membres à partir de 25 mai 2018. Si plus de la moitié des responsables informatiques - interrogés par la société Varonis début octobre - formulent des inquiétudes quant à leur conformité à cette date, ils sont 74 % à penser que le respect du RGPD peut constituer un avantage concurrentiel.
Quelles sont les entreprises concernées ?
Tout acteur économique européen ou d'un Etat tiers, qui procède au traitement de données personnelles sur le territoire de l'Union, est soumis à ce règlement. Cela implique que, même en cas de leur transfert hors de l'UE, le niveau de protection doit être garanti. Les sous-traitants d'une entreprise n'échappent pas au RGPD. Les modalités de traitement des informations doivent être inscrites dans un contrat liant les différents acteurs. Devront être stipulés l'objet et la durée du traitement, ainsi que sa nature et sa finalité, le type de données et les catégories de personnes concernées. Ce contrat prévoit que le sous-traitant n'agit que sur instruction de l'entreprise initiale, responsable du traitement.
Qui pour se charger du RGDP ?
Une nouvelle fonction voit le jour : ledata protection officer (DPO). En cas de pertes ou d'altération des données hébergées, ce délégué devient l'interlocuteur des clients concernés, à qui il devra annoncer les conséquences des incidents constatés. Il veille aussi au respect des procédures internes et formule des rappels à la loi si nécessaire. Il peut être poursuivi pour défaut de conseil.
Quelles modalités de contrôle ?
Jusqu'alors, les entreprises recueillant des données personnelles sur leurs clients devaient envoyer une déclaration préalable à la Cnil. Le RGPD change de paradigme. Il met fin à cette obligation et instaure le principe de responsabilité des acteurs, qui doivent être en conformité avec le règlement. Les contrôles viendront a posteriori et en cas d'incidents, afin de juger de la pertinence de la solution de protection des données mise en place, ainsi que de la bonne tenue du registre des traitements. Toutefois, le ministère de la Justice a souhaité conserver les demandes préalables pour la collecte de données jugées très sensibles, à savoir les informations biométriques et le numéro d'inscription au répertoire national d'identification des personnes physiques.
Quelles sanctions ?
Désormais « la protection des personnes physiques à l'égard du traitement des données à caractère personnel est un droit fondamental », peut-on lire en son article 1. Les compétences de toutes les autorités administratives chargées du respect du règlement seront renforcées. Les « Cnil européennes » pourront infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu. Avec ce règlement, le législateur européen a souhaité taper fort. Il faut dire que compte tenu des enjeux économiques du développement du numérique, nombre d'entreprises se sont engouffrées dans la collecte massive de données sans réel contrôle.
DATE-CHARGEMENT: 9 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
160 of 500 DOCUMENTS
Les Echos Executives
lundi 8 janvier 2018
2018 Les dossiers chauds des dirigeants
AUTEUR: VALERIE LANDRIEU
RUBRIQUE: ARTICLE; Le client final devient la cible; Pg. 1 N°. 22608
LONGUEUR: 1429 mots
ENCART: En ce début d'année, les décideurs vont devoir s'assurer de la mise en musique de diverses évolutions réglementaires. Sans jamais perdre de vue les priorités business.
L'agenda des directions générales est bien rempli pour les mois à venir. En réunion de codir, les dirigeants devront s'assurer, cette année, de la mise en musique de diverses évolutions réglementaires. Respect du devoir de vigilance et lutte anticorruption, règlement européen sur la protection des données (voir page 2), réforme de la formation professionnelle, plan de mobilité en entreprise et prélèvement à la source (page 3), les directions juridiques, digitales, des ressources humaines et financières sont normalement aujourd'hui dans les starting-blocks. Les orientations stratégiques des directions générales intègrent ces changements, ne serait-ce, parfois, que pour répondre à l'injonction des conseils d'administration : « Soyez en conformité ! » Mais, bien entendu, les préoccupations des décideurs relèvent avant tout du business et des nouveaux modèles qui doivent permettre à l'entreprise de préparer son futur et de se mettre en marche sur les sujets d'innovation.
Le client final devient la cible
Et lorsqu'une trentaine de dirigeants de grandes entreprises (Veolia, Vinci, Airbus, Suez, EDF, Sodexo, BlaBlaCar, TF1, etc.) se retrouvent, comme ils l'ont fait l'automne dernier, à Deauville, sous la houlette du cabinet de conseil en stratégie Oliver Wyman, pour réfléchir aux dossiers qui seront sur le dessus de la pile en 2018, ils pensent avant tout au client. Le consommateur final est entré dans la ligne de mire de toutes les entreprises, y compris celles qui s'adressent traditionnellement aux collectivités. « Nous ne pouvons plus ne pas nous soucier du client utilisateur, explique le dirigeant d'une grande entreprise industrielle. Si nous ne le faisons pas - alors que nous en avons la légitimité -, quelqu'un d'autre viendra capturer la valeur existante sur le bien que nous avons produit. » Le diagnostic d'Hanna Moukanas, qui dirige le bureau parisien du cabinet de conseil en stratégie Oliver Wyman, fait écho à ces propos : « Les disruptions sont en train de transformer et de fragmenter les chaînes de valeur de manière inédite », explique le consultant. Pour lui, cette révolution redessine la finalité même de l'entreprise qui « va continuer à exercer son métier mais devra y ajouter l'usage, en imaginant des formes de consommation différentes, et cela lui offre de nouvelles opportunités de croissance. » Pour capturer, mesurer et répondre aux attentes de ces clients, la « customisation de masse » devrait pouvoir miser sur les données collectées. Sous conditions, toutefois.
Data, respect du devoir de vigilance et lutte anticorruption
« Les données sont extrêmement stratégiques, celles des clients comme celles relatives aux process de l'entreprise. Nous venons justement de recruter un chief data officer pour nous assurer que la collecte et l'analyse des data se font en transparence, en équité et dans le respect des nouvelles réglementations européennes », expliquait, il y a peu, Hervé Gastinel, le président du groupe Bénéteau. Le règlement européen sur la protection des données (RGPD) justement va venir réguler la connaissance du consommateur. Le sujet est sur toutes les lèvres, mais au fond, le niveau de maturité des entreprises françaises en la matière reste faible. Certaines entreprises n'avaient encore mis aucune équipe sur le sujet, il y a quelques mois. Il s'agit maintenant d'être en conformité quasiment pour le premier trimestre. Inquiets sur le respect de l'échéance, trois quarts des DSI estiment, selon une récente enquête, qu'être prêt à temps pourra constituer un avantage concurrentiel. « Nous sommes au stade des POC [proof of concept, NDLR] », poursuit la responsable du cabinet Oliver Wyman. En clair, des réalisations expérimentales. Décentralisée dans chaque activité, ou centralisée au sein d'une « digital factory », comme chez Thales, la data sera le sujet de l'année 2018. Et des suivantes.
Tout comme le respect du devoir de vigilance et de la lutte anticorruption. Car la transparence et le strict respect des droits de l'homme restent au coeur des préoccupations des dirigeants. La réforme de l'objet social de l'entreprise (voir encadré ci-dessous), voulue par le gouvernement, dont les travaux devraient commencer ces prochains jours, se situe dans la continuité logique du nouveau devoir de vigilance issu de la loi du 27 mars 2017. Les entreprises de plus de 5.000 salariés en France ou 10.000 salariés si le siège social est à l'étranger vont devoir le mettre pleinement en oeuvre cette année. Il est demandé aux multinationales de cartographier leurs risques, d'évaluer leurs filiales, leurs fournisseurs et sous-traitants de même que d'assurer un dispositif d'alerte interne. Ce sont les atteintes aux droits de l'homme et à l'environnement, dans les rapports qu'entretient un groupe à l'étranger, qui sont visées. En cas de manquement à ses obligations, à savoir l'absence de plan, l'absence de publication de celui-ci ou des défaillances dans sa mise en oeuvre effective, l'entreprise peut voir sa responsabilité civile engagée. Dans le même esprit, les entreprises vont devoir s'assurer de la mise en oeuvre de tous les outils exigés par la loi Sapin II, entrée en vigueur le 30 juin 2017, pour lutter contre la corruption : programme de compliance, système d'alerte interne, cartographie des risques, etc. L'Agence française anticorruption a récemment publié des recommandations afin d'accompagner les entreprises concernées. En parallèle, l'autorité administrative indépendante a d'ores et déjà contrôlé les programmes de lutte anticorruption de six entreprises. Les premières sanctions sont attendues très prochainement.
L'humain et la coopération... dans la transformation numérique
Alors que la ministre du Travail Muriel Pénicaud a confié, le 5 janvier, une mission sur la vision de l'entreprise dans la société à Nicole Notat, présidente de Vigeo, et à Jean-Dominique Sénard, président de Michelin, le sujet de « l'humain » dans l'entreprise numérique mobilise de façon plus pragmatique les décideurs.
« Le facteur humain est au coeur de la transformation. Mal appréhendé, il peut conduire à de vraies catastrophes », avertit Hanna Moukanas. Le constat des dirigeants, réunis à Deauville, n'était pas éloigné : « Cette période de transformation est vécue comme un traumatisme par l'immense majorité des collaborateurs et notre rôle, en tant que dirigeant, est de les 'équiper' pour qu'ils puissent être acteurs de la mutation », avait alors conclu le conclave. De bonnes raisons pour les directions des ressources humaines de se saisir du levier de la formation professionnelle pour se positionner, à l'occasion, en partenaires tactiques de la direction générale (voir page 3). La précédente réforme de 2014 en ce domaine, mal anticipée par les entreprises, a laissé des traces... D'autant qu'une autre mutation stratégique a émergé.
Alliances, partenariats, intégrations de start-up, « force est de constater que toutes les entreprises sont face à des challenges d'hybridité », pointe Hanna Moukanas. Pour le consultant, l'ensemble de l'écosystème de l'entreprise doit être repensé avec de nouveaux modèles coopératifs. Les « convertis » ne sont pas rares parmi les dirigeants mais les déclinaisons sont floues. Dévoilant le mois dernier son plan stratégique, Enrique Martinez, le nouveau directeur général du groupe FNAC Darty, a indiqué ainsi vouloir « déployer un écosystème enrichi permettant d'offrir la meilleure proposition de valeur à ses clients ». « Aucune entreprise ne peut plus considérer que ses actifs ne sont pas partageables », précise par ailleurs Hanna Moukanas. Ainsi, pourquoi des groupes comme Veolia et Suez ne seraient-ils pas appelés, à l'avenir, à mettre en commun des actifs - non stratégiques -, plutôt que de se livrer une concurrence coûteuse, avec le risque qu'un nouvel acteur disrupte la chaîne de valeur ? L'évolution qui se joue va ainsi contraindre les entreprises à envisager la fraction de la création de valeur avec de nouveaux partenaires, à penser « gouvernance ouverte » et à reconsidérer leur organisation. A la manière des Gafa - qui ont développé des modèles qui leur permettent de travailler avec d'autres entreprises partenaires et fournisseurs. « Apple et Orange sont concurrents. Mais leur gouvernance n'a rien à voir », glisse l'expert. Sylvain Rabuel, directeur général France, Europe et Afrique du Club Med, a, lui, décidé d'ouvrir son codir aux clients. « Ouvrir le comité de direction aux clients, c'était aller au bout de la logique de personnalisation des services », confiait-il il y a quelques mois aux « Echos Executives ».
DATE-CHARGEMENT: 9 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
161 of 500 DOCUMENTS
Les Echos Executives
lundi 8 janvier 2018
2018 Les dossiers chauds des dirigeants
AUTEUR: Valérie Landrieu avec Delphine Iweins
RUBRIQUE: ARTICLE; Le client final devient la cible
LONGUEUR: 1587 mots
ENCART: En ce début d'année, les décideurs vont devoir s'assurer de la mise en musique de diverses évolutions réglementaires. Sans jamais perdre de vue les priorités business.
L'agenda des directions générales est bien rempli pour les mois à venir. En réunion de codir, les dirigeants vont devoir, cette année, s'assurer de la mise en musique de diverses évolutions réglementaires. Respect du devoir de vigilance et lutte anticorruption, règlement européen sur la protection des données (voir page 2), réforme de la formation professionnelle, plan de mobilité en entreprise et prélèvement à la source (page 3), les directions juridiques, digitales, des ressources humaines et financières sont normalement aujourd'hui dans les starting-blocks. Les orientations stratégiques des directions générales intègrent ces changements, ne serait-ce, parfois, que pour répondre à l'injonction des conseils d'administration : « Soyez en conformité ! » Mais, bien entendu, les préoccupations des décideurs relèvent avant tout du business» et des nouveaux modèles qui doivent permettre à l'entreprise de préparer son futur et de se mettre en marche sur les sujets d'innovation.
Le client final devient la cible
Et lorsqu'une trentaine de dirigeants de grandes entreprises (Veolia, Vinci, Airbus, Suez, EDF, Sodexo, BlaBlaCar, TF1, etc.) se retrouvent, comme ils l'ont fait l'automne dernier, à Deauville, sous la houlette du cabinet de conseil en stratégie Oliver Wyman, pour réfléchir aux dossiers qui seront sur le dessus de la pile en 2018, c'est, en premier lieu du client dont il s'agit. Le consommateur final est entré dans la ligne de mire de toutes les entreprises, y compris celles dont les clients sont traditionnellement les collectivités. « Nous ne pouvons plus ne pas nous soucier du client utilisateur, explique le dirigeant d'une grande entreprise industrielle. Si nous ne le faisons pas - alors que nous avons la légitimité pour le faire -, quelqu'un d'autre viendra capturer la valeur existante sur le bien que nous avons produit. » Le diagnostic d'Hanna Moukanas, qui dirige le bureau parisien du cabinet de conseil en stratégie Oliver Wyman, fait écho à ces propos : « Les disruptions sont en train de transformer et de fragmenter les chaînes de valeur de manière inédite », explique le consultant. Pour lui, cette révolution redessine la finalité même de l'entreprise qui « va continuer à exercer son métier mais devra y ajouter l'usage, en imaginant des formes de consommation différentes, et cela lui offre de nouvelles opportunités de croissance. » Pour capturer, mesurer et répondre aux attentes de ces clients, la « customisation de masse » devrait pouvoir miser sur les données collectées. Sous conditions, toutefois.
Data, respect du devoir de vigilance et lutte anticorruption
« Les données sont extrêmement stratégiques, celles des clients comme celles relatives aux process de l'entreprise. Nous venons justement de recruter un chief data officer pour nous assurer que la collecte et l'analyse des data se font en transparence, en équité et dans le respect des nouvelles réglementations européennes », expliquait, il y a peu, Hervé Gastinel, le président du groupe Bénéteau. Le règlement européen sur la protection des données (RGPD) justement va venir réguler la connaissance du consommateur. Le sujet est sur toutes les lèvres, mais au fond, le niveau de maturité des entreprises françaises en la matière reste faible. Certaines entreprises n'avaient encore mis aucune équipe sur le sujet, il y a quelques mois. Il s'agit maintenant d'être en conformité quasiment pour le premier trimestre. Inquiets sur le respect de l'échéance, trois quarts des DSI estiment, selon une récente enquête, qu'être prêt à temps pourra constituer un avantage concurrentiel. « Nous sommes au stade des POC [proof of concept, NDLR] », poursuit le responsable du cabinet Oliver Wyman. En clair, des réalisations expérimentales. Décentralisée dans chaque activité, ou centralisée au sein d'une « digital factory », comme chez Thales, la data sera le sujet de l'année 2018. Et des suivantes.
Tout comme le respect du devoir de vigilance et de la lutte anticorruption. Car la transparence et le strict respect des droits de l'homme restent au coeur des préoccupations des dirigeants. La réforme de l'objet social de l'entreprise (voir encadré ci-dessous), voulue par le gouvernement, dont les travaux devraient commencer ces prochains jours, se situe dans la continuité logique du nouveau devoir de vigilance issu de la loi du 27 mars 2017. Les entreprises de plus de 5.000 salariés en France ou 10.000 salariés si le siège social est à l'étranger vont devoir le mettre pleinement en oeuvre cette année. Il est demandé aux multinationales de cartographier leurs risques, d'évaluer leurs filiales, leurs fournisseurs et sous-traitants de même que d'assurer un dispositif d'alerte interne. Ce sont les atteintes aux droits de l'homme et à l'environnement, dans les rapports qu'entretient un groupe à l'étranger, qui sont visées. En cas de manquement à ses obligations, à savoir l'absence de plan, l'absence de publication de celui-ci ou des défaillances dans sa mise en oeuvre effective, l'entreprise peut voir sa responsabilité civile engagée. Dans le même esprit, les entreprises vont devoir s'assurer de la mise en oeuvre de tous les outils exigés par la loi Sapin II, entrée en vigueur le 30 juin 2017, pour lutter contre la corruption : programme de compliance, système d'alerte interne, cartographie des risques, etc. L'Agence française anticorruption a récemment publié des recommandations afin d'accompagner les entreprises concernées. En parallèle, l'autorité administrative indépendante a d'ores et déjà contrôlé les programmes de lutte anticorruption de six entreprises. Les premières sanctions sont attendues très prochainement.
L'humain et la coopération... dans la transformation numérique
Alors que la ministre du Travail Muriel Pénicaud a confié, le 5 janvier, une mission sur la vision de l'entreprise dans la société à Nicole Notat, PDG de Vigeo Eiris, et ex-numéro un de la CFDT, et à Jean-Dominique Sénard, président de Michelin, le sujet de « l'humain » dans l'entreprise numérique mobilise de façon plus pragmatique les décideurs.
« Le facteur humain est au coeur de la transformation. Mal appréhendé, il peut conduire à de vraies catastrophes », avertit Hanna Moukanas. Le constat des dirigeants, réunis à Deauville, n'était pas éloigné : « Cette période de transformation est vécue comme un traumatisme par l'immense majorité des collaborateurs et notre rôle, en tant que dirigeant, est de les 'équiper' pour qu'ils puissent être acteurs de la mutation », avait alors conclu le conclave. De bonnes raisons pour les directions des ressources humaines de se saisir, suffisament en amont, du levier de la formation professionnelle pour se positionner, à l'occasion, en partenaires tactiques de la direction générale (voir page 3). La précédente réforme de 2014 en ce domaine, mal anticipée par les entreprises, a laissé des traces... D'autant qu'une autre mutation stratégique a émergé.
Alliances, partenariats, intégrations de start-up, « force est de constater que toutes les entreprises sont face à des challenges d'hybridité », pointe Hanna Moukanas. Pour le consultant, l'ensemble de l'écosystème de l'entreprise doit être repensé avec de nouveaux modèles coopératifs. Les « convertis » ne sont pas rares parmi les dirigeants mais les déclinaisons sont floues. Dévoilant le mois dernier son plan stratégique, Enrique Martinez, le nouveau directeur général du groupe FNAC Darty, a indiqué ainsi vouloir « déployer un écosystème enrichi permettant d'offrir la meilleure proposition de valeur à ses clients ». « Aucune entreprise ne peut plus considérer que ses actifs ne sont pas partageables », précise par ailleurs Hanna Moukanas. Ainsi, pourquoi des groupes comme Veolia et Suez ne seraient-ils pas appelés, à l'avenir, à mettre en commun des actifs - non stratégiques -, plutôt que de se livrer une concurrence coûteuse, avec le risque qu'un nouvel acteur disrupte la chaîne de valeur ? L'évolution qui se joue va ainsi contraindre les entreprises à envisager la fraction de la création de valeur avec de nouveaux partenaires, à penser « gouvernance ouverte » et à reconsidérer leur organisation. A la manière des Gafa - qui ont développé des modèles qui leur permettent de travailler avec d'autres entreprises partenaires et fournisseurs. « Apple et Orange sont concurrents. Mais leur gouvernance n'a rien à voir », glisse l'expert. Sylvain Rabuel, directeur général France, Europe et Afrique du Club Med, a, lui, décidé d'ouvrir son codir aux clients. « Ouvrir le comité de direction aux clients, c'était aller au bout de la logique de personnalisation des services », confiait-il il y a quelques mois aux « Echos Executives ».
Bientôt un nouvel objet social ?
La réécriture des articles 1832 et 1833 du Code civil définissant le rôle de l'entreprise n'en finit pas de faire débat dans les cercles patronaux. De quoi s'agit-il ? De la place de l'entreprise au sein de la société et de l'élargissement de son objet social à une responsabilité sociale et environnementale. Une mission « entreprise et bien commun » portée par Nicole Notat, la patronne de Vigeo Eiris, et Jean-Dominique Sénard, le président de Michelin. Même si les organisations recourent aujourd'hui largement à la notion de « parties prenantes », le projet ne fait pas l'unanimité et nourrit d'ores et déjà de nombreux débats. Il sera traité dans le cadre de la future loi sur la croissance et la transformation des entreprises qui sera présentée au printemps prochain par le ministre de l'Economie Bruno Le Maire.
Contributor:
DATE-CHARGEMENT: 9 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
162 of 500 DOCUMENTS
Les Echos.fr
dimanche 7 janvier 2018
Gaspard Koenig : « Chaque citoyen doit pouvoir vendre ses données personnelles »
AUTEUR: NICOLAS MADELAINE
RUBRIQUE: INTERVIEW
LONGUEUR: 1091 mots
ENCART: Le think-tank Génération Libre va publier dans quelques semaines un rapport prônant un droit de propriété privée des données personnelles. Son président Gaspard Koenig explique aux « Echos » pourquoi les citoyens doivent pouvoir vendre leurs données et choisir celles qu'ils veulent conserver.
Vous voulez promouvoir un droit de propriété privée pour les données personnelles. Pourquoi ?
Il s'agit de rendre aux citoyens ce qui leur appartient. Tous les jours nous acceptons des dizaines de cookies sur nos ordinateurs et cliquons « ok » sur des conditions d'utilisation léonines qui nous dépossèdent de nos données personnelles, y compris les plus intimes. Or si la data est bien cet « or noir » du 21ème siècle, il n'y a pas de raison de ne pas payer les producteurs - nous - sans laisser aux raffineurs (les agrégateurs et les plates-formes) l'intégralité des revenus liés à l'exploitation des data. On peut par exemple se rendre compte de la valeur monétaire de nos posts sur Facebook grâce au « Data Valuation Tool ». A l'inverse, chacun doit pouvoir arbitrer les données personnelles qu'il ne souhaite pas partager. Quand j'achète une voiture, j'ai envie qu'elle m'appartienne pour de bon, pas qu'elle alimente le constructeur en données sur ma géolocalisation, mon comportement et mes excès de vitesse... Chaque citoyen doit pouvoir choisir entre vendre ses données aux plates-formes vivant du retargeting publicitaire, ou les conserver (quitte alors à payer le prix du service).
Aucun pays au monde ne l'a fait...
J'espère bien que nous allons contribuer à faire monter ce débat avec le rapport que nous publierons dans quelques semaines. Nous allons bien sûr le traduire en anglais et le défendre au niveau européen. Aujourd'hui, les politiques ne comprennent rien au sujet. Mais le thème est très populaire tout simplement car cela peut représenter des revenus supplémentaires pour les gens.
Comment faire ?
Après dix ans de chaos dans la data, il est clair qu'une nouvelle forme de régulation est nécessaire. Il y a trois options. Créer une sorte d'agence nationale des données personnelles qui serait chargée de mettre des data encryptées à disposition des entreprises, sous certaines conditions. C'est le communisme. Ou alors, créer des droits pour les citoyens et des obligations pour les plates-formes qui collectent les données : c'est ce qu'ont choisi de faire la Commission européenne et divers régulateurs nationaux comme la Cnil en France. Le risque est alors d'aboutir à une judiciarisation excessive de l'économie digitale et d'étouffer l'innovation. Nous proposons une troisième option, qui peut s'articuler avec la précédente : celle de la patrimonialité des données pour permettre aux entreprises de se les approprier après avoir justement rémunéré les citoyens. La révolution industrielle a rendu nécessaire un droit de propriété intellectuelle sur les brevets. C'était déjà une construction sociale. Il serait logique aujourd'hui d'étendre le droit de la propriété privée aux données personnelles. De nombreuses voix, aux Etats-Unis notamment, commencent à s'élever en ce sens.
Qu'en pensent les entreprises que vous avez sondées ?
Les plates-formes, les éditeurs et les agences de pub pourraient perdre des profits, c'est certain. Mais les entreprises s'intéressent sérieusement à notre modèle car elles comprennent la menace qui vient de la logique du Règlement Général sur la Protection des Données (RGPD), le nouveau règlement européen sur la protection des données personnelles qui entre en vigueur en mai 2018. Or, elles se disent que finalement elles préfèrent payer pour avoir de la data et faire ce qu'elles en veulent. Cela dit, ce n'est pas notre rôle d'anticiper les rééquilibrages économiques que cette patrimonialité induira. Il y aura sans doute des entreprises innovantes, agissant comme intermédiaires pour permettre les citoyens de contractualiser leurs données.
Dès lors, à quel tarif vendre les données ?
C'est un calcul complexe qui n'a pas encore été fait. Nous allons publier au second semestre une étude économétrique avec la Toulouse School of Economics qui tentera d'évaluer un tel 'marché des data'. Aujourd'hui, selon un calcul grossier, la valeur générée par Facebook via la publicité représenterait une dizaine de dollars par utilisateur et par an : c'est le prix auquel nous vendons notre vie privée ! Jaron Lanier, l'un des pionniers de la réalité virtuelle et l'auteur de « Who Owns the Future ? », imagine un système de « nanopaiements » qui viendrait créditer et débiter en continu un compte digital personnel. On pourrait vendre, louer ou encore laisser en héritage nos données... Notre rapport consacre toute en partie à l'utilisation de la blockchain pour faciliter ces paiements.
Après la vente de données, l'étape d'après, c'est la vente du corps ?
C'est l'objection centrale que font aujourd'hui les juristes à la vente des données personnelles. Pour eux, c'est la porte ouverte à la vente du corps, reconnu 'indisponible' par la jurisprudence, et dont le code civil nous dit qu'il ne peut être l'objet d'un commerce. Mais si l'on entre dans ce débat philosophique, je pense qu'il faut assumer l'idée, posée par John Locke, de 'propriété de soi'. Cela aurait des conséquences importantes sur toutes les questions liées à la prostitution, à la GPA, ou au statut du cadavre (et des organes qu'il contient). N'est-il pas anormal par exemple qu'aujourd'hui l'hôpital public puisse vendre des cadavres aux chirurgiens qui les achètent pour leurs recherches, sans que la famille ne touche rien au nom de l'indisponibilité du corps ? et que, pour résoudre l'inadéquation entre la demande et l'offre d'organes, on avance vers une quasi nationalisation du cadavre (il est de plus en plus difficile de s'opposer au prélèvement des organes), alors qu'un système d'incitations bien conçu pourrait aboutir au même résultat par des moyens plus justes et moins coercitifs ? En ouvrant la possibilité de s'augmenter soi-même voire de modifier son ADN (ou celui de sa descendance), les biotechnologies vont rendre ces questions brûlantes. Il me semble donc urgent d'introduire dans notre droit la 'propriété de soi', substitut à cette indéfinissable 'dignité humaine' héritée du judéo-christianisme..
Le risque, c'est que demain, seuls les riches aient droit à une vie privée...
Avec Génération Libre, le think-tank que je dirige, nous avons prôné un revenu universel pendant la campagne présidentielle pour que tout individu puisse subvenir à ses besoins. Il serait logique d'inclure dans le calcul de ce revenu le prix moyen de la réappropriation des données personnelles. Ainsi, la question de la mise sur le marché de ses propres données deviendrait un arbitrage de consommation comme un autre.
Contributor:
Voir aussi:
[24/02/2017] Données personnelles : six conseils pour lancer son chantier « GDPR »
DATE-CHARGEMENT: 9 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Groupe Les Echos
tous droits réservés
163 of 500 DOCUMENTS
Les Echos.fr
samedi 6 janvier 2018
Les entreprises à la recherche de légitimité sur la collecte des données personnelles
AUTEUR: NICOLAS MADELAINE
RUBRIQUE: ARTICLE; Un « Nonio » pour la France
LONGUEUR: 535 mots
ENCART: Alors que Bruxelles durcit les règles sur l'utilisation des données personnelles, la plupart des entreprises de la publicité en ligne savent qu'elles devront obtenir un consentement plus clair des Internautes pour collecter leurs données.
A la dernière conférence média des « Echos », le philosophe Gaspard Koenig avait mis sur la table une idée décoiffante pour réviser le droit de propriété privée des données personnelles : obliger ceux qui les utilisent dans le but de générer des revenus publicitaires à les payer aux Internautes. Les représentants des plates-formes ou des éditeurs en ligne n'ont bien sûr pas tout de suite sorti leur carnet de chèque. Mais, et c'est notable, ils se sont montrés moins opposés au projet qu'on aurait pu s'y attendre.
Leur premier réflexe a été en effet de penser que la plupart des Internautes donneraient leurs données en échange d'un service gratuit. « Comme ils le font aujourd'hui : les données personnelles sont en fait déjà rémunérées car les gens savent bien que la gratuité n'existe pas », dit un patron de presse. Le second réflexe a été d'espérer que ce droit de propriété légitimerait peut-être une collecte de données aujourd'hui souvent vécue par les citoyens comme un espionnage sournois.
Pour les entreprises du Web, rémunérer la donnée irait trop loin. « L'idée est intéressante mais cela renchérirait les services fournis et cela appauvrirait l'expérience client, dit Béatrice Lhopitallier, directrice data pour Les Echos-Le Parisien. Des services comme les applis de circulation automobile n'ont de valeur que si leurs membres partagent leurs données. » Sans compter qu'il y a des craintes que la rémunération de la donnée soit une « machine à gaz ». En outre, plusieurs start-up (People.io, Mesinfos, Cashinfos) existent déjà qui permettent aux citoyens de vendre leurs données aux marques ou de les récupérer. Elles restent petites.
Un « Nonio » pour la France
Cela dit, les directives européennes ePrivacy et Règlement Général sur la Protection des Données (RGPD) destinées à protéger les données personnelles montrent bien dans quel sens le vent politique souffle. Elles ont beau fragiliser les médias d'information à un moment déjà difficile et ne pas affecter autant les géants du Net sur lesquels on se « logge » (ou s'inscrit) et donc on consent à céder ses données, rien ne semble pouvoir arrêter ces initiatives. De toute façon, les navigateurs Web intègrent de plus en plus des fonctions stoppant tout cookie.
Les éditeurs savent donc qu'ils vont devoir obtenir un consentement plus clair de leurs Internautes sur leurs données. Béatrice Lhopitallier note que ceux qui vivent de la pub en ligne vont devoir se pencher sur leur « marketing de la privacy », autrement dit leur capacité à convaincre les Internautes que la collecte de leurs données est faite de manière responsable et permet de fournir des services moins chers.
Pour ne pas être paralysés par les directives ePrivacy ou les initiatives anti-cookies des navigateurs, plusieurs médias ou éditeurs réfléchissent au sein du comité data de Médiamétrie à un « login » commun enregistrant les Internautes directement sur tous leurs sites et qui rendrait ces derniers ensemble aussi puissants en données qu'un Facebook. Un tel projet baptisé Nonio existe au Portugal. Il regroupe des sites concentrant 85 % du trafic à eux seuls. Pour que les Internautes acceptent de s'inscrire, le minimum sera qu'ils aient confiance...
Contributor:
DATE-CHARGEMENT: 9 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Groupe Les Echos
tous droits réservés
164 of 500 DOCUMENTS
Les Echos.fr
vendredi 5 janvier 2018
Les cinq défis des banques françaises en 2018
AUTEUR: SOLENN POULLENNEC
RUBRIQUE: ARTICLE; -1- Saisir les opportunités de la régulation
LONGUEUR: 979 mots
ENCART: L'année s'annonce chargée pour les banques : accélérer dans la banque mobile, faire maigrir les réseaux, s'adapter aux nouvelles règles sur le partage et la protection des données... Les chantiers ne manquent pas.
L'année 2018 ne sera pas de tout repos pour les banques françaises. Elles devront en effet conduire de très lourds chantiers de transformation, notamment réglementaires. Et ce, alors que la faiblesse des taux continue de peser sur leurs marges et les empêche de tirer tout le profit qu'elles souhaiteraient de la reprise économique.
L'année 2018 ne sera pas de tout repos pour les banques françaises. Avant même éventuellement de participer à la consolidation en cours du paysage bancaire sur le Vieux Continent,elles devront conduire de très lourds chantiers de transformation. Et ce, alors que la faiblesse des taux continue de peser sur leurs marges et les empêche de tirer tout le profit qu'elles souhaiteraient de la reprise économique.
-1- Saisir les opportunités de la régulation
Les établissements bancaires doivent d'abord faire face à une série de nouvelles réglementations qui promettent de rebattre les cartes dans le secteur des services financiers. Depuis quelques jours, les banques d'investissement et les banques privées doivent ainsi encaisser le big bang des nouvelles règles de marché (MIF II) qui les obligent à revoir la tarification de certains services.
Lire aussi :
Six FinTech à suivre en 2018
Dès le 18 janvier, les banques de détail seront confrontées à l'entrée en vigueur du cadre européen sur les moyens de paiements (DSP2). Celui-ci instaure des règles de sécurité plus strictes pour les paiements en ligne. Surtout, il pourrait renforcer la concurrence dans le secteur des services financiers en forçant les banques à partager avec les fintech le trésor que constituent les données de leurs clients. Les fintech espèrent ainsi grignoter des parts de marché aux banques et les conduire à externaliser auprès d'elles une partie de leurs offres.
En mai, les établissements bancaires vont également devoir s'adapter à l'entrée en vigueur d'un nouveau règlement européen (RGPD) sur les données.Un règlement qui va forcer les institutions à rendre davantage de comptes aux clients lorsqu'elles utilisent leurs informations personnelles. Et ce, à l'heure où les banques comptent exploiter ces informations de façon de plus en plus intensive pour gagner en efficacité.
-2- Accélérer dans la banque mobile
L'autre priorité des banques de détail est de continuer à adapter leurs services aux nouvelles habitudes de leurs clients dont les yeux sont rivés sur les écrans des ordinateurs et téléphones. Elles ont déjà développé des applications mobiles et pour beaucoup des banques complètement en ligne, telle que Boursoramachez Société Générale ou BforBank chez Crédit Agricole.
Lire aussi :
La Banque Postale au coeur d'un Meccano financier
La consolidation s'accélère dans l'assurance
Certains établissements tardent cependant à lancer leur banque 100 % digitale. Le groupe BPCE, qui a acheté la fintech allemande Fidor en 2016, travaille depuis cette date à en faire sa banque mobile paneuropéenne. Il compte commencer à déployer une partie de son offre en France dans les prochains mois, en développant d'abord une communauté autour des services financiers.
La Banque Postale non plus n'a pas encore concrétisé ses ambitions dans la banque en ligne. Selon nos informations, elle testera sa banque mobile pour l'instant baptisée en interne Neobank en fin d'année avant de la commercialiser au début de 2019, soit près de deux ans plus tard que prévu. « Dès le 1er septembre 2018, les premières équipes vont être recrutées, l'objectif à fin 2019 étant de 160 agents issus en priorité de recrutements internes à La Poste », indique le syndicat FO dans un tract.
-3- Résister au renforcement de la concurrence
Ces développements mobiles se font dans un environnement toujours plus concurrentiel. Plusieurs jeunes pousses de la finance telles que N26 et Revolut sont en train de déployer des offres de comptes courants, de moyens de paiements et même de crédit. Par ailleurs, des poids lourds tels qu'Orange avec Orange Bank investissent le champ des services bancaires 2.0 sans hésiter à casser les prix. Des banques ont déjà décidé de contre-attaquer comme le Crédit Agricole avec son offre à bas prix Ekoou le Crédit Mutuel-CIC qui a lancé « Avantoo », une offre couplant services bancaires et mobile.
-4- Capitaliser sur les fintech
Soucieuses de ne pas se laisser distancer en matière d'innovation, les banques n'ont pas hésité à monter au capital de fintech, voire à les racheter. Par exemple, le Crédit Mutuel Arkéa a investi dans Linxo ou Younited Credit et a racheté Pumpkin. De son côté, La Banque Postale a mis la main l'année dernière sur la plate-forme de financement participatif KissKissBankBank.
Pour cette dernière, l'année 2018 sera donc le moment d'intégrer pleinement la jeune pousse et de renforcer grâce à elle son offre de financement aux petites entreprises. Plus globalement, les banques devront développer les synergies avec ces nouveaux acteurs sans les étouffer.
-5- Faire maigrir les réseaux et refondre les systèmes
Qui dit développement du digital, dit désertion progressive des agences bancaires et réorganisation des réseaux. Société Générale a ainsi annoncé qu'elle allait faire passer son réseau de 2.000 en 2017 à 1.700 agences d'ici à 2020. A cet horizon, BNP Paribas projette d'avoir fermé quelque 200 agences en France, soit près de 10 % de ses points de vente actuels.
La digitalisation exige aussi des banques qu'elles investissent lourdement pour mettre à jour leurs systèmes d'information, par exemple pour être à la page de nouveaux standards de marché tels que celui du paiement instantané. BPCE compte proposer des offres en la matière dès 2018.
Contributor:
DATE-CHARGEMENT: 9 janvier 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: L'année 2018 ne sera pas de tout repos pour les banques françaises. Elles devront en effet conduire de très lourds chantiers de transformation, notamment réglementaires. Et ce, alors que la faiblesse des taux continue de peser sur leurs marges et les empêche de tirer tout le profit qu'elles souhaiteraient de la reprise économique.
TYPE-PUBLICATION: Publication internet
Copyright 2018 Groupe Les Echos
tous droits réservés
165 of 500 DOCUMENTS
Acteurs publics
4 janvier 2018
1978, année zéro de la protection des données
RUBRIQUE: ACTUALITES
LONGUEUR: 732 mots
Nom de code : Safari. Sous ses airs presque anodins, cet acronyme se retrouve au coeur d'un scandale qui éclate au printemps 1974. C'est un article du Monde du 21 mars* qui met le feu aux poudres. Le journaliste Philippe Boucher y alerte du "secret qui entoure l'épanouissement de l'informatique dans les administrations" et des dangers potentiels de son utilisation par l'État. Il y est donc question du "Système automatisé pour les fichiers administratifs et le répertoire des individus" auquel le ministère de l'Intérieur s'intéresse de très près. À terme, ce "projet Safari" doit permettre de centraliser les quelque "100 millions de fiches, réparties dans 400 fichiers" détenues par les services de police, voire de les recouper avec d'autres sources (cadastre, fichier des impôts...) afin de constituer un identifiant unique pour "chaque Français". Une perspective qui fait alors resurgir de très noirs souvenirs : le fichage des juifs et des étrangers en 1941 avait grandement facilité la tâche de l'administration de Vichy...
La polémique grandit d'autant plus vite que les progrès de l'informatique, bien qu'encore balbutiante et confidentielle au regard de ce qu'elle est aujourd'hui, commencent à inquiéter. Elle pousse le Premier ministre, Pierre Messmer - auquel va bientôt succéder Jacques Chirac, après le décès de Georges Pompidou -, à mettre en place très rapidement une commission présidée par le vice-président du Conseil d'État, Bernard Chenot, et baptisée "Informatique et Libertés", chargée de proposer un cadre législatif pour l'utilisation de l'informatique. Un peu plus d'un an plus tard, en juin 1975, la commission livre ses propositions dans un rapport rédigé par le conseiller d'État Bernard Tricot, duquel va largement s'inspirer le projet de loi présenté en juillet 1976 par le ministre de la Justice d'alors, Jean Lecanuet.
Syndrome Big Brother
Celui-ci prévoit la création d'une commission de contrôle indépendante - la future Cnil - de 12 membres chargée de présenter un rapport annuel au président de la République ; un droit d'accès pour chaque citoyen aux fichiers le concernant et un droit de rectification (à l'exclusion des informations touchant à la sûreté de l'État, à la défense nationale et à la sûreté publique) et stipule qu'aucune donnée sur la race, la religion ou l'appartenance politique d'une personne ne peut être conservée dans un fichier.
Jusqu'à la promulgation de la loi "relative à l'informatique, aux fichiers et aux libertés", le 6 janvier 1978, et encore bien après la naissance effective de la Commission nationale de l'informatique et des libertés (en janvier 1980), la question du traitement de ce que l'on ne nomme pas encore les "données à caractère personnel" ne cesse d'alimenter le débat public, après avoir agité les bancs parlementaires. Dans les médias, elle est posée en ces termes : l'ordinateur menace-t-il nos libertés ? Que se passerait-il si les informations issues de l'interconnexion des fichiers, permettant de tout savoir sur le citoyen, tombaient entre de mauvaises mains ? Le syndrome Big Brother plane. On est pourtant à mille lieues d'imaginer les "autoroutes de l'information" des années 2000 et encore plus loin de concevoir le big data et le cloud d'aujourd'hui : fin 1980, on ne recense que quelque 250 000 fichiers informatiques (publics et privés). Et même si l'on a entrevu dès la fin des années 1970 de possibles usages vertueux des données informatisées par l'administration - pour la santé ou la lutte contre la fraude par exemple -, on songe toujours à prémunir le citoyen contre la "tyrannie de l'ordinateur", qu'elle émane de la sphère publique ou privée.
C'est contre cela que la Cnil, outil administratif d'un nouveau genre - elle est la toute première autorité administrative indépendante - est conçue pour servir de rempart. Il faut pourtant attendre 2004 (et la loi du 6 août) pour qu'elle soit dotée de pouvoirs de sanction. Entretemps, l'informatique a gagné du terrain... Et le droit en la matière s'est étoffé en conséquence. Le nouveau règlement européen sur la protection des données (RGPD), qui doit entrer en vigueur le 25 mai prochain dans les États membres de l'Union européenne, appelle ainsi la modification de quelques articles de la loi de 1978. C'est l'objet du projet de loi dit Cnil 2, qui doit encore être examiné par le Parlement.
* "« Safari » ou la chasse aux Français".
DATE-CHARGEMENT: 8 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2018 Société d'édition publique
Tous droits resérvés
166 of 500 DOCUMENTS
Stratégies
4 janvier 2018
Edition 1;
National Edition
L'ANNÉE DE TOUS LES DÉFIS POUR LA BANQUE
AUTEUR: THOMAS PONTIROLI
RUBRIQUE: BUSINESS MARQUES; Pg. 10,11
LONGUEUR: 985 mots
FINANCE Technologie, concurrence, réglementation... les réseaux bancaires sont challengés de toutes parts. Ils doivent tout transformer de front : expérience client, communication, numérique.
Le secteur bancaire vit une mutation sans précédent », témoignait en septembre sur BFM Business Bertrand Cizeau, de BNP Paribas. Le directeur de la communication de « la banque d'un monde qui change » résumait bien la situation, tant la banque de détail se trouve à un croisement de phénomÈnes majeurs : montée en puissance des néobanques qui les challengent sur la relation client et captent la clientÈle jeune, essoufflement des discours publicitaires traditionnels qui tendent à se confondre, fermetures d'agences. Il y a urgence à réinventer leur modÈle... Last but not least : l'entrée en vigueur en janvier de la DSP2 (Directive sur les services de paiement) et du RGPD (RÈglement européen sur la protection des données). Deux « réglementations phénoménales », de l'aveu de Catherine Charrier-Leflaive, directrice de la banque de détail de La Banque postale, qui induisent de lourds investissements pour ouvrir les données à des tiers et les sécuriser. Sans oublier le débarquement d'Orange Bank avec ses 28 millions de clients mobiles... À ce sujet, un patron de banque a confié aux Échos : « Ce qui m'inquiÈte le plus, c'est qu'ils ne cherchent pas à gagner de l'argent.
» LES NÉOBANQUES CAPTENT LES JEUNES. Elles s'appellent Compte-Nickel, Monzo, N26, Revolut, ne sont pas toutes connues du grand public mais ont toutes franchi le cap des 500000 clients l'année derniÈre. Plus qu'une goutte d'eau (comparé aux 24 millions de clients d'un Crédit Mutuel-CIC), ces start-up sont un grain de sable dans la mécanique de conquête des jeunes, en quête d'immédiateté et de gratuité. « On change trÈs peu de banque dans sa vie : lorsqu'on accÈde à un crédit, et lorsqu'on est jeune, car on change de ville et on s'émancipe de la banque familiale. La jeunesse est trÈs importante pour les banques », observe Olivier Altmann, dont l'agence de pub accompagne la Caisse d'épargne depuis 2015.
« Les néobanques nous poussent à nous adapter et à investir dans l'UX. Mais toutes les banques vont se mettre à niveau, et à terme, la différence se fera sur les services», nuance Catherine Charrier-Leflaive, de La Banque postale. Si les néobanques ne représentent qu'environ 5% du marché, pour Hugues Le Bret, fondateur et PDG de Compte-Nickel, « elles captent la conquête de clients et atteindront 20% du marché dans cinq à dix ans». Chez BNP Paribas, qui a racheté la start-up, « on ne voit pas de déperdition de clients mais de valeur, car ils virent leur salaire sur un deuxiÈme compte», indique un fin connaisseur de la banque.
LES GÉANTS CHANGENT DE DISCOURS. En attendant de moderniser leurs lourdes infrastructures, les réseaux rachÈtent ou incubent des start-up -ce qui n'est pas sans rappeler le mouvement de concentration des banques en ligne. Et revoient leur copie publicitaire. AprÈs douze ans passés avec Aubert Storch Associés, LCL remet son budget pub en jeu. Le phénomÈne touche aussi la banque en ligne : Boursorama (Buzzman), ING Direct (Rosapark) et BforBank (en compétition) revisitent leur discours de marque pour sortir de leur niche. Se sentent-elles ringardisées par la nouvelle génération ? « Le digital a modifié le rapport aux marques, les avis en ligne permettent de générer de la confiance dans de nouveaux acteurs », avance Hugues Le Bret, qui a su attirer 700 000 clients en à peine quatre ans. D'un discours axé sur le produit, la banque doit « créer de la préférence de marque », explique Yvon Martin, directeur marketing d'ING Direct. Olivier Altmann ne dit pas le contraire : « Quand on se bat offre contre offre, on risque d'amoindrir la force de la marque devant des fonctionnalités reproductibles par d'autres, comme le virement par SMS. Les banques doivent construire un territoire spécifique. » RÉINVENTER LE RÔLE DE L'AGENCE. Alors que La Caisse d'épargne vient de lancer La Communauté, un réseau social d'entraide, se pose la question du rôle des réseaux phy-siques. D'ici 2020, BNP Paribas fermera 200 agences, BPCE, 400, LCL, plus de 250, la Société générale, 300. Selon la Fédération bancaire française, 1466 agences ont baissé le rideau depuis 2016. Le phénomÈne s'accélÈre sous l'effet du digital : sur la même période, le nombre de Français fréquentant plusieurs fois par mois leur agence est tombé de 52 à 20 %, selon l'institut d'études BVA.
« Les banquiers sont face à un problÈme : les clients à faible patrimoine veulent de l'humain, mais ne sont pas rentables, à l'inverse des fortunés », note Jean-François Levionnois, directeur général adjoint du cabinet. Que faire alors ? Laurent Bertin, le monsieur digitalisation d'Accenture France, « imagine des agences intelligentes, tournées vers du conseil assisté par les outils ». Sophie Heller, chief operating officer retail banking & services de BNP Paribas, mise, elle, sur « un conseiller généraliste, gérant un écosystÈme d'experts qu'il active selon les besoins client. » Pour l'instant, les banques « sont au milieu du gué », tempÈre Accenture. « Elles ont un butoir en 2020 », ajoute BVA.
D'ici-là, Altice devrait rejoindre Orange dans la banque : deux rivaux qui maillent déjà le territoire... S'ADAPTER AUX AGRÉGATEURS DE COMPTES. DÈs janvier, les banques doivent se conformer à la DSP2 pour ouvrir leurs données à des tiers : des agrégateurs de comptes tels que Linxo ou Bankin deviendront des intermédiaires dans la gestion de compte en ligne (consultation et transfert), éloignant potentiellement les banques de leurs clients. Ou offrant plus de visibilité, comme le pense La Banque postale. Là aussi, les institutions s'y mettent : Société générale a repris Fiduceo, BPCE a lancé Banxo...). Laurent Bertin d'Accenture prévient, « il faut coller aux codes des Gafa ». À ce jour, ils ne sont pas une menace. Pour combien de temps ? ?
DATE-CHARGEMENT: January 4, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: BNP PARIBAS, La Banque postale, Boursorama ou encore La Caisse d'épargne ont revu leur copie publicitaire pour créer de la préférence de marque et tenter de faire face à l'attractivité des néobanques.
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
167 of 500 DOCUMENTS
Stratégies
4 janvier 2018
Edition 1;
National Edition
Les tendances 2018
AUTEUR: EMMANUEL GAVARD; MARIE-CAROLINE ROYET
RUBRIQUE: BUSINESS / CULTURE TECH; Pg. 26,28
LONGUEUR: 1139 mots
INNOVATION Cette année s'annonce riche en rebondissements dans le domaine technologique. Inventaire des innovations qui devraient marquer 2018.
LE RGPD (ET L'EPRIVACY). Deux pour le prix d'une ! Deux échéances législatives sont attendues pour 2018. La premiÈre est prévue de longue date, la réglementation générale sur la protection des données [RGPD], au niveau européen, arrivera en mai. Elle change l'esprit général de la loi concernant les données personnelles : elle rend les entreprises plus responsables et les oblige à avoir en interne un délégué à la protection des données (DPO). Les amendes peuvent monter jusqu'à 4 % du chiffre d'affaires mondial... Et les entreprises ont beaucoup de retard dans leur mise en conformité. L'ePrivacy, de son côté, est encore en discussion, mais pourrait complÈtement modifier l'utilisation des cookies sur internet : ceux-ci passeraient en « opt-in » [consentement préalable de l'internaute par le biais d'une case à cocher], et seraient donc considérés par défaut comme refusés par l' internaute... Cela limiterait fortement le marché de la publicité ciblée sur internet.
L'INTELLIGENCE ARTIFICIELLE. La bataille a commencé en 2017, elle s'intensifiera en 2018, notamment entre les Gafa, qui vont développer des outils pour les entreprises. L'intelligence artificielle nécessite de nombreuses données pour s'améliorer. Or ce sont ces géants du web qui la détiennent... De quoi donner une longueur d'avance à Google, Amazon, Facebook, mais aussi Alibaba et Baidu. Des géants bien réels qui font face aux acteurs historiques du marché de l'informatique : Microsoft et IBM. La victoire reviendra à celui qui démocratisera le plus cette technologie. La bataille des « API » [Interfaces de programmation, qui permettent d'utiliser une technologie en se connectant simplement], ne fait que commencer !
LE BITCOIN, BOOM DE LA BLOCKCHAIN ? Il a atteint les 19 000 dollars avant de baisser ensuite ! C'est sûrement l'un des phénomÈnes de fin 2017. La finance s'y intéresse de plus en plus, et l'on promet quelques mouvements sur ce sujet début 2018. Certaines entreprises dans le monde, en payant leurs employés en bitcoins, ou des sites e-commerce ont rendu cette monnaie électronique de plus en plus réelle... Et derriÈre ? C'est toute la technologie de la blockchain qui surfe sur la vague et se démocratise. Plus on adopte le bitcoin, plus on adopte la blockchain.
LE VOCAL. Google Home est arrivé en France. La technologie Alexa d'Amazon devrait débarquer sous peu... Déjà quelques applications sont à la page : L'Équipe avec son journal, ou Monoprix, qui permet de faire ses courses en parlant à sa machine. Les marques devront prendre de l'avance, notamment sur le search, pour émerger sur ces nouvelles plateformes. Car si le moteur de recherches de Google offre moult pages de propositions sur internet, lorsqu'on leur pose une question, les « majordomes électroniques » ne font qu'une seule proposition de restaurant, de produit ou d'assurance. La bataille pour la premiÈre place sera rude... Mais le consommateur suivra-t-il la tendance du tout parlé ? AMAZON FONCE SUR LA PUB. Il ne s'arrête plus ! Le géant de l'e-commerce, outre son activité cloud avec Amazon Web Services, prend de plus en plus de place sur le marché publicitaire. Cette activité représenterait d'ores et déjà plus d'un milliard de dollars de chiffre d'affaires. Une paille, face à Google et Facebook, mais avec de belles perspectives de progression. Si sa premiÈre manne publicitaire reste le sponsoring de résultats de recherche, son stock de données personnelles lui a permis de passer des accords avec de gros éditeurs français. Et l'extension de son inventaire vidéo, intégrant les séries, lui donnerait aussi un avantage certain, d'autant que le géant de Jeff Bezos réfléchirait à lancer une plateforme gratuite de vidéos. Aux États-Unis, on s'interroge même sur la nécessité à venir de créer des agences « spécialisées » sur les outils Amazon.
LE JUMEAU NUMÉRIQUE. C'est sûrement l'une des tendances qui va le plus doper les affaires d'une entreprise. Prenez un produit, ou un processus dans votre entreprise, et modélisez-le en trois dimensions. Le résultat permet d'étudier toutes les connexions possibles avec le monde extérieur, les liens associés et d'anticiper ainsi les impacts qu'ils auront sur votre systÈme.
C'est une simple technique de modélisation (comme lorsqu'on essaye de prévoir la trajectoire d'une fusée) mais cette fois-ci appliquée à tout objet physique ou processus. Les technologies de data et de réseaux, ayant considérablement progressé, permettent de prendre en compte un maximum de paramÈtres pour des modÈles toujours plus fidÈles, d'où le qualificatif de jumeau.
QUAND LA TECH SE MET AU VERT. Le tout digital a bon dos, mais la technologie n'est pas sans risques pour la planÈte et l'on s'interroge de plus en plus sur ses conséquences. La « virtualisation » ne fait que déplacer le problÈme sur des serveurs et des centrales électriques. Des alternatives voient le jour, comme les moteurs de recherche green. Autre proposition avec le Tech for Planet, organisé sous l'égide de l'accélérateur Numa : grandes entreprises et chercheurs ont imaginé des technologies qui pourraient participer favorablement à la protection de la planÈte et donc à la réduction de l'empreinte carbone. Certes encore minime, l'idée d'une technologie éco-friendly bourgeonne dans les esprits. Et si les entreprises commençaient à s'y mettre ? L'ENVOLÉE DES PAIEMENTS MOBILES.
S'il a eu du mal à démarrer, le paiement sans contact est de plus en plus prisé par les consommateurs. Selon le rapport de Juniper Research, spécialiste dans la technologie digitale, le nombre d'utilisateurs d'Apple Pay et d'Android Pay a presque doublé entre 2016 et 2017, passant de 45 à 86 millions pour la solution Apple et de 12 à 24 millions pour celle d'Android. Une alternative qui connaît une demande croissante en magasin mais aussi sur les sites d'ecommerce. Les boutiques, ainsi que les développeurs et les designers du numérique, vont devoir s'y mettre, pour adapter leurs outils on et offline... LA RÉALITÉ AUGMENTÉE. On a longtemps cru qu'il fallait des smartphones plus perfectionnés pour développer de la réalité augmentée, mais les projets ARCore (Google) et ARKit (Apple) permettent d'étendre la pratique à bon nombre d'appareils moins sophistiqués. Les développeurs peuvent alors s'y donner à coeur joie ! Face aux succÈs de ces technologies, Google a même abandonné en décembre son projet Tango, lancé en 2014, qui visait à équiper les appareils de capteurs et de processeurs spécifiques pour calculer la réalité et y insérer des images. Les applications intégrant cette technologie vont donc se multiplier. Mais attention, une réalité augmentée de qualité demandera forcément des mesures précises et des capteurs dernier cri... .
DATE-CHARGEMENT: January 4, 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: LE BITCOIN , en faisant parler de lui fin 2017, a permis de faire la lumiÈre sur la blockchain.AMAZON et son assistant Alexa sont attendus en France en 2018.
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2018 Stratégies
tous droits réservés
168 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 3 Janvier 2018
Vidéo : pourquoi modifier la réglementation sur la protection des données ?
AUTEUR: La Rédaction
RUBRIQUE: ARTICLES; Vie du Net
LONGUEUR: 649 mots
ENCART: Le JDN propose une série de vidéos avec la plateforme de transformation digitale U Change et le cabinet K&L Gates pour tout savoir du RGPD. Aujourd'hui, les origines de cette réglementation.
En avril 2016, l'Union Européenne s'est accordée sur la mise en place d'un nouveau cadre réglementaire sur la protection des données personnelles en adoptant le Règlement Général sur la Protection des Données (RGPD), dont l'entrée en vigueur est prévue le 25 mai 2018.
Des précédentes initiatives visant à créer un cadre européen
Déjà à la fin des années 70, la France et la Suède avaient adopté des lois générales sur la protection des données personnelles. Ainsi, la Suède fut le premier pays, en 1974, à formaliser cette protection et à créer un Comité en charge de l'application de la loi. Elle sera suivie par la France en 1978 avec la loi "Informatique et Libertés" qui donna naissance à la Commission nationale de l'informatique et des libertés (CNIL), chargée de veiller au respect des principes posés par la loi.
Au niveau européen, c'est en 1995 que les États Membres se mettent d'accord sur un cadre commun en adoptant une directive (95/46) visant à harmoniser leurs approches de la vie privée et des données personnelles. Ainsi, c'est à ce moment que sont posés les grands principes de la protection européenne des données personnelles en adoptant une définition commune de ce qu'est une donnée personnelle, des obligations d'information et des droits garantis aux personnes, des principes de durée proportionnée de conservation des données ou encore des règles de transfert de données hors de l'Union Européenne, afin qu'elles restent sous la protection des principes européens lorsqu'elles sont traitées ailleurs dans le monde.
Une adaptation nécessaire de la réglementation
Les évolutions technologiques ont rendu nécessaire l'adoption d'un nouveau cadre. En effet, l'avènement des smartphones, des réseaux sociaux ou encore l'essor de la géolocalisation, ont entrainé une mondialisation massive des traitements de données, l'explosion du volume des données personnelles traitées, qui deviennent de plus en plus intimes et de plus en plus partagées. Par ailleurs, l'autre objectif principal était de mieux protéger les publics fragiles, notamment les mineurs. Il y avait ainsi des différences entre les pays Européens sur l'âge de la majorité en matière de données personnelles.
Le nouveau règlement européen, le Règlement Général sur la Protection des Données (RGPD, ou "Général Data Protection Regulation" - GDPR) n°2016/679 adopté en avril 2016 après quatre années de négociation, a vocation à remédier à ces divergences d'interprétations entre États membres et établi un cadre unifié et renforcé de la protection des données personnelles, qui met à la charge des entreprises l'obligation de prouver leur conformité à la réglementation, ce qui leur impose de connaître, décrire et surveiller en permanence les traitements de données qu'elles opèrent.
L'application de ces principes au-delà des frontières européennes
Le nouveau règlement européen a pour objectif d'exporter les obligations en matière de protection des données personnelles au monde entier, dès lors qu'elles concernent une personne résidant dans l'Union européenne. Ainsi, en plus de s'appliquer à toute entreprise ou administration dans l'Union Européenne, le RGPD s'applique également à toute entité située en dehors de l'Union Européenne si elle collecte, traite ou conserve des données personnelles de résidents Européens. Par exemple, une société américaine ou chinoise devra respecter les principes du RGPD si elle traite les données d'une personne résidant de manière stable sur le territoire européen. Le champ d'action du nouveau règlement est ainsi bien plus large et crée une véritable extraterritorialité du droit européen en matière de protection des données personnelles, assortie de sanctions qui se veulent extrêmement dissuasives pour les infractions les plus graves : jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial consolidé d'un groupe.
Texte d'Etienne Drouard et Alex Salehi
DATE-CHARGEMENT: 3 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2018 Benchmark Group
Tous droits réservés
169 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 3 Janvier 2018
Vidéo : qu'est-ce qu'une donnée personnelle ?
AUTEUR: La Rédaction
RUBRIQUE: ARTICLES; Vie du Net
LONGUEUR: 1701 mots
ENCART: Le JDN propose une série de vidéos avec la plateforme de transformation digitale U Change et le cabinet K&L Gates pour tout savoir du RGPD. Aujourd'hui, les données personnelles.
Face à l'évolution constante des technologies et d'Internet, les données personnelles sont apparues au c½ur de nombreux questionnements. Le nouveau règlement européen "RGPD" (ou "GDPR", en anglais) 2016/679, instaure un nouveau cadre de protection renforcée pour ces données.
Chacun peut avoir sa propre définition d'une donnée personnelle. Au risque de briser quelques idées reçues, il est préférable de bien mesurer l'immense périmètre régulé par le RGPD.
En synthèse, si vous avez une donnée anonyme entre les mains, c'est que ni vous ni personne d'autre sur la planète ne serait susceptible d'individualiser, par quelque recoupement que ce soit, une personne, un comportement ou un objet connecté.
Dans quelles mesures une information peut-elle être qualifiée de donnée personnelle ?
L'article 4 du RGPD définit une donnée personnelle comme toute information susceptible de permettre l'identification d'une personne de manière directe ou indirecte. La rédaction volontairement large permet d'englober toutes les données susceptibles de permettre l'individualisation d'une personne ou de son comportement, même si son identification ne serait possible que par des recoupements hypothétiques avec d'autres informations détenues par des tiers avec lesquels vous n'avez aucune relation.
Concernant d'abord les " informations se rapportant à une personne physique identifiée ", cette disposition renvoie à toute information désignant une personne. C'est par exemple le cas du prénom et du nom, d'une photographie.
L'article 4 du RGPD vise ensuite toute information se rapportant à une personne identifiable, par celui qui traite cette information ou par un tiers. En pratique, cela correspond à la situation où une information seule ne va pas permettre de connaître l'identité de la personne, mais, associée à une autre donnée provenant de toute tierce personne physique ou morale, cette identification serait possible. L'information initiale qui ne permet pas à elle seule d'identifier une personne physique peut ainsi, tout de même, être qualifiée de donnée personnelle.
L'indifférence quant à la volonté de l'individu de fournir ou non une information
On se situe dans le champ des données personnelles lorsqu'une personne physique est " raisonnablement susceptible " (on peut tout faire avec ces deux adjectifs accolés) d'être identifiable derrière une donnée.
Cette donnée peut être fournie volontairement par la personne mais également être générée par la simple utilisation d'un service. C'est notamment le cas des clics sur une page web ou encore d'une donnée de localisation. Ces informations collectées sont qualifiables de données personnelles car, à partir du moment où, associées à d'autres données telles qu'une adresse IP, elles peuvent identifier une personne. Au quotidien, l'utilisation des logiciels communicants d'une voiture ou encore son numéro de série, peut rattacher la voiture à une personne physique spécifique.
Finalement, dès qu'il y a l'individualisation d'une information et derrière l'indentification d'une personne, l'information est une donnée personnelle et l'entreprise détentrice devra se conformer au RGPD si l'individualisation se rapporte à une personne résidant de manière stable dans l'Union européenne (quelle que soit sa nationalité, d'ailleurs).
Des exemples tirés du quotidien, pour bien comprendre la logique
L'exemple du numéro de téléphone est évident. Alors que la connaissance d'un numéro de téléphone ne permet pas à elle seule de déterminer l'identité d'un individu, son association avec les informations détenues par l'opérateur télécoms permet à l'opérateur et à ceux qui sont habilités à l'interroger (annuaire inversé, service de police), de connaître l'identité de la personne qui s'y rapporte.
C'est également le cas d'une adresse IP d'un terminal (ordinateur, smartphone, etc.) connecté, qui, associée aux informations détenues par un fournisseur d'accès à Internet (FAI) est susceptible de permettre d'identifier un personne ; d'un pseudo (@123toto), d'un numéro de matricule, de sécurité sociale, de client, d'une adresse email (123toto@gmail.com), d'un identifiant d'un ordinateur (n° de licence de l'OS), d'un logiciel de navigation (useragent), d'un fichier qui s'y rapporte, même temporairement (cookie), du numéro unique d'une carte réseau (adresse MAC d'une carte wi-fi, bluetooth ou d'une carte SIM), d'un identifiant publicitaire (n° IDFA d'un iPhone), d'un élément logiciel (n° SDK d'une application mobile), d'un véhicule (la plaque d'immatriculation, mais également le numéro de châssis, voire même le numéro d'une plaquette de frein installée par le constructeur dans ce véhicule, qui peut donc être relié via le constructeur puis le ministère de l'Intérieur à la carte grise et donc à l'immatriculation et le nom du propriétaire), etc.
En conséquence, l'identification par vous-même " ou par un tiers " ne change rien à la notion de donnée personnelle ; même si vous n'avez aucune idée du tiers qui disposerait d'autres informations permettant, dans une chaîne, même théorique, de recoupements, d'individualiser une personne, puis de l'identifier lors d'une interaction avec l'un des objets, appareils, services ou lieux auxquels elle se rattache.
Cette liste d'exemples est infinie, elle utilise des termes d'identifiants techniques que seuls les professionnels comprennent, parfois. L'idée ici n'est pas d'être un spécialiste. Mais néanmoins de comprendre que les " données à caractère personnel " s'entendent de tout ce qui se voit et ne se voit pas dans la traçabilité qu'une personne ou que les objets qu'elle utilise, est susceptible de générer, notamment avec n'importe quel objet connecté ou n'importe quel comportement singulier.
Un dernier exemple parlant peut être utilisé pour illustrer ce qu'une corrélation entre deux informations permet de produire dans une chaîne virtuellement infinie de corrélations et d'interactions que nous produisons au quotidien dans un environnement connecté.
Qu'y at-t-il de plus individualisant qu'une localisation et un instant ? Sauf à nous déplacer toujours en groupe, un lieu et un instant nous individualisent. Ces deux catégories d'informations permettent de distinguer ou de relier l'emplacement d'un téléphone portable et d'un véhicule, ou d'une tablette, par exemple, s'ils semblent se déplacer en même temps en étant localisés ensemble à deux moments successifs. On pourra donc en déduire, même en ignorant qui conduit la voiture, qu'il est probable que le conducteur possède le téléphone portable et la tablette.
Puis, lors de l'ouverture d'une application mobile avec ce téléphone mobile, le traitement de l'adresse MAC de la carte GSM du téléphone, associé à l'inscription de l'utilisateur de l'application qui fournirait son adresse e-mail et un prénom, vous permettrait déjà d'aller lui " parler " (affichage publicitaire, personnalisation du contenu qu'il consulte) en utilisant son prénom, lorsqu'il surfe sur Internet... avec sa tablette. Tout cela, parce que l'instant et le lieu du téléphone et de la tablette vous auront fourni un lien entre ces deux appareils. Il ne reste plus qu'à attendre que l'utilisateur de l'un de ces deux appareils fournisse une donnée à un acteur placé au bon endroit pour faire ces recoupements.
Des enjeux sociétaux qui dépassent largement la volonté individuelle
Le " droit à consentir " consiste à interdire l'utilisation d'une donnée tant que la personne n'y a pas consenti, en étant clairement éclairée sur l'autorisation qu'on lui demande d'accorder.
Les enjeux démocratiques, sociétaux, économiques et concurrentiels entourant l'usage des données personnelles sont fortement imbriqués et il est dangereux -et courant- de croire que la protection des données personnelles est une affaire d'experts (juristes ou techniciens). Tout comme il serait faux et dangereux de croire qu'on devrait réguler l'usage des données personnelles en ne s'intéressant qu'au RGPD et ses cousins d'autres régions du monde ou en s'en remettant aux recommandations des régulateurs tels que la CNIL.
Car l'existence d'un régulateur sectoriel ne suffit pas à réguler la société toute entière, de se substituer à l'État, lorsque l'objet régulé (la donnée) traverse tous les pans de la vie sociale, depuis la naissance et jusqu'après la mort, toutes les frontières et toutes les facettes d'une société humaine mondialisée.
A trop vouloir affirmer que les libertés individuelles priment sur les modèles économiques et les frontières, on s'isole et l'on se convainc que défendre une bonne cause est suffisant pour avoir raison des rapports de force qui constituent la réalité du monde. Protéger ses données personnelles ne peut se résumer à avoir raison tout seul.
Le droit de la concurrence, le droit commercial, le droit des sociétés, le droit du travail, le droit de la santé, le droit de l'agriculture, le droit administratif, le droit de la liberté d'expression, le droit de la famille, la recherche, l'innovation, la génétique, l'intelligence artificielle, etc. En définitive, une approche globale trop rarement employée, doit permettre de trouver les arbitrages entre " MOI ", les lois en concurrence et le reste du monde.
Prenons un peu de hauteur par la recherche d'arbitrages et l'exigence d'honnêteté
Laisser croire aux personnes qu'elles seules décident, est une impardonnable tromperie, quelle que soit leur maturité sur la protection de leur vie privée, voire leur ferme volonté -légitime- de la garder pour elles.
Le sacro-saint " consentement informé, libre, spécifique, explicite, discrétionnaire et rétractable à tout moment " est celui dont vous usez en acceptant des conditions contractuelles pourtant détaillées que vous ne lisez pas. Même si vous les lisiez attentivement, elles ne peuvent rien vous dire de ce qu'un État, un secteur économique ou la société toute entière ont tout aussi légitimement que vous, la possibilité de décider quoi faire de vos données.
La régulation transverse pluridisciplinaire, qui articule et arbitre ce qu'une société estime souhaitable, acceptable, reste encore à élaborer. Il ne suffit pas de reconnaître que cette perspective est lointaine ou complexe, pour justifier d'y renoncer a priori.
Texte d'Etienne Drouard et Marine Forget
DATE-CHARGEMENT: 3 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2018 Benchmark Group
Tous droits réservés
170 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 3 Janvier 2018
Vidéo : droits et obligations des entreprises avec le RGPD
AUTEUR: La Rédaction
RUBRIQUE: ARTICLES; Vie du Net
LONGUEUR: 591 mots
ENCART: Le JDN propose une série de vidéos avec la plateforme de transformation digitale U Change et le cabinet K&L Gates pour tout savoir du RGPD. Aujourd'hui, vos droits et obligations.
Le traitement des données personnelles par les entreprises et les administrations implique des obligations pour ces dernières et des droits pour les personnes auprès desquelles des données sont collectées.
Une obligation de transparence : le droit à l'information
Quiconque traitant des données personnelles devra fournir aux personnes, préalablement à leur collecte, son identité, des informations concernant les finalités du traitement, c'est-à-dire la raison pour laquelle les données sont collectées, comment les données sont traitées et pendant combien de temps et avec qui elles sont susceptibles d'être partagées par celui qui les recueille. Au-delà de l'objectif premier qui est de faire comprendre aux personnes comment leurs données seront traitées, le but est d'inciter les entreprises à mener une réflexion sur la manière dont elles traitent les données personnelles, par exemple concernant la durée de conservation.
Cet autocontrôle de l'entreprise qui doit s'interroger sur le point de savoir si toute vérité est bonne à dire, peut ainsi l'inciter à repenser le pourquoi, le comment et la relation de confiance qu'elle souhaite instaurer avec les personnes, tout en se préservant des marges légitimes d'innovation et d'efficacité dépassant la seule fourniture des services que les personnes souscrivent auprès d'elles, par exemple.
La nécessité de fixer une durée de conservation des données
La durée de conservation des données est souvent négligée par les entreprises, bien qu'elle doive être définie. Ainsi, il n'est pas suffisant de mettre des mentions d'informations générales sans durée de conservation proportionnée à l'usage qui en sera fait. La nécessité d'informer les utilisateurs sur les critères qui vont déterminer la durée de conservation contraint donc les entreprises à les définir, par exemple la durée pendant lequel un service est fourni ou la durée pendant laquelle une entreprise souhaite envoyer de la prospection commerciale en utilisant ces données. Au-delà de ces périodes, il existe également des obligations légales et réglementaires qui imposent aux entreprises de conserver un nombre restreint de données, par exemple à des fins d'archivage, qui seront accessibles à un nombre plus limité de personnes.
Un nouveau droit pour les personnes : le droit à la portabilité
Le nouveau règlement permet de faciliter le transfert de données fournies par l'utilisateur entre différentes entreprises, sous le contrôle de la personne concernée. Une personne peut ainsi récupérer des données la concernant afin de les confier à une autre entreprise. Bien qu'il soit encore trop tôt pour savoir si ce droit sera utilisé de manière fréquente, il est malgré tout nécessaire pour les entreprises de mettre en place les mécanismes nécessaires afin de pouvoir répondre à ces demandes dès l'entrée en vigueur du nouveau règlement.
Un renforcement du consentement
La maîtrise des personnes sur leurs données se voit renforcée avec le règlement. En effet, il est nécessaire de leur demander leur consentement lorsque la collecte de donnée(s) ne repose pas sur une obligation légale ou contractuelle. Ce consentement devra être libre, spécifique, éclairé et univoque, tel que prévu par le RGPD. Pour certaines données, telles que les données de localisation, il sera toujours nécessaire d'obtenir le consentement des personnes, qu'elles pourront retirer à tout moment, et qu'il faudra renouveler tous les 6 mois ou 1 an, suivant les modalités dans lesquelles les personnes sont localisées.
Texte d'Etienne Drouard et Alex Salehi
DATE-CHARGEMENT: 3 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2018 Benchmark Group
Tous droits réservés
171 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 3 Janvier 2018
Vidéo : quels sont les enjeux du RGPD pour les entreprises ?
AUTEUR: La Rédaction
RUBRIQUE: ARTICLES; Vie du Net
LONGUEUR: 1117 mots
ENCART: Le JDN propose une série de vidéos avec la plateforme de transformation digitale U Change et le cabinet K&L Gates pour tout savoir du RGPD. Aujourd'hui, les enjeux de la réglementation.
Au quotidien, les entreprises traitent de nombreuses données personnelles. Face à l'entrée en vigueur de la nouvelle réglementation européenne sur la protection des données personnelles en mai 2018 ("RGPD" ou "GDPR" en anglais), les entreprises doivent faire face à de nouveaux enjeux : obligation de transparence renforcée, constitution d'une gouvernance et d'un inventaire interne des données. Elles vont devoir se doter de nouveaux outils et d'organisation pluridisciplinaire pour s'y conformer, destinés à irriguer dans les divers métiers de l'entreprise, une culture commune de la protection des données.
Comment préparer son entreprise à la nouvelle règlementation ?
La nouvelle règlementation a instauré une obligation de transparence renforcée vis-à-vis des personnes. Ce principe exige que toutes les informations et les communications relatives aux données personnelles soient concises, facilement accessibles, faciles à comprendre et formulées en des termes clairs et simples. Cela vaut pour tout type d'information (identité du responsable de traitement, finalités du traitement etc.).
Il est essentiel pour chaque entreprise d'installer une " gouvernance " des données personnelles. Chacune des directions de l'entreprise (Ressources Humaines, Directions opérationnelles, Marketing, Innovation, Sécurité, Informatique, Contrôle de gestion, Comptabilité, Finance, etc) devra participer à la constitution d'une "cartographie" des données personnelles traitées par l'entreprise. A la coordination de cette gouvernance, et quand cela est obligatoire, l'entreprise désignera un "Data Protection Officer" ou délégué à la protection des données personnelles (DPO). Sans être le garant du respect à la règlementation, il doit permettre à l'entreprise de se coordonner.
La désignation d'un DPO est obligatoire sous certaines conditions (article 37 RGPD) : lorsque le traitement est effectué par une autorité publique ou un organisme public, lorsque les activités de base exigent un suivi " régulier et systématique à grande échelle des personnes " ou lorsqu'il s'agit d'un traitement à grande échelle de données sensibles (données de santé, sur la religion...) ainsi que des données relatives à des condamnations pénales et à des infractions.
La constitution d'un inventaire est également indispensable pour rendre compte de ses activités, préalable à l'examen de la conformité au règlement. Cette documentation factuelle et descriptive doit répondre aux questions suivantes : quels types de données sont traitées par chaque métier, pourquoi sont-elles traitées, de quelle source proviennent-elles, de quelle information des personnes ont-elles fait l'objet, pour leur offrir quels droits, envers qui ces données sont-elles accessibles (pourquoi et comment) en interne et en externe (autre société d'un groupe, prestataires, partenaire commerciaux) et (last but not least) pendant combien de temps ?
Bien que cet inventaire ne soit pas en lui-même l'instrument suffisant d'une conformité de fond au règlement, il permet une meilleure connaissance des données traitées, aide à l'innovation et permet de faire les choix nécessaires à des fins de mise en conformité. Dans un objectif de transparence, la synthèse de cet inventaire doit être mise à disposition des régulateurs et de quiconque le demanderait.
Par la suite, l'entreprise devra organiser un processus interne pour se mettre en conformité : compléter les mentions d'information des personnes, prévoir des clauses types dans les contrats passés avec les prestataires pour assurer la sécurité des données et se préparer à gérer les risques d'une faille de sécurité. En effet, en cas de faille susceptible d'engendrer un risque pour les droits et libertés des personnes (exemple : vol de données), l'entreprise a 72h (trois jours non ouvrés) à compter de sa découverte pour en faire le diagnostic et en rendre compte auprès du régulateur lorsque des risques pour la vie privée des personnes sont prévisibles.
Quelles sanctions en cas de manquement ?
Les sanctions administratives en cas de manquement des entreprises au respect de leurs obligations se sont extrêmement alourdies. Alors que la loi "informatique et Liberté" de 1978 imposait jusqu'en octobre 2016 une sanction administrative maximal de 150.000¤, la nouvelle réglementation prévoit des sanctions pouvant aller jusqu'à 4% du chiffre d'affaire annuel mondial, sans parler des sanctions pénales. Se conformer à la nouvelle réglementation est donc un enjeu capital pour les entreprises.
Le premier risque n'est pas réglementaire, il est concurrentiel
Au-delà du risque juridique, c'est le risque de réputation et de compétitivité qui doit animer les décideurs. Perdre la confiance des personnes ou ne pas susciter celle de ses partenaires commerciaux lorsqu'ils demandent des garanties de conformité ou de sécurité, constitue un risque plus immédiat, qui précède l'intervention d'un régulateur et les arcanes d'un processus d'enquête.
Généralement, un risque se mesure à son intensité et à sa répétition. Depuis 2016 au moins, il est intensément et constamment question du RGPD dans les relations entre les entreprises. Celles qui ne se seront pas préparées à négocier des contrats exigeant d'elles des garanties de conformité, perdront des marchés face à un concurrent mieux préparé. Celles qui ne sauront pas répondre aux demandes des consommateurs ou des médias échoueront au test populaire de la confiance.
Si vous doutez encore qu'il faut investir à bon escient dans le RGPD et sans dépenser à fonds perdus dans une conformité punitive, songez un instant que votre impréparation vous coûtera à coup sûr plus cher qu'une préparation axée sur la performance de votre entreprise. Même sans la menace de sanctions administratives.
Choisissez vos prestataires et conseils non pas en fonction des questions qu'ils peuvent vous aider à vous poser, mais en fonction des réponses qu'ils peuvent vous apporter pour faire de cet investissement un avantage compétitif réel axé sur vos désirs d'innovation "responsable" : d'abord, ne rien s'interdire, ensuite, ne rien négliger. La qualité de l'offre, la psychologie du consommateur, la réactivité face aux critiques, la priorisation des menaces, l'offre de la concurrence, le risque réglementaire, n'ont rien de nouveau dans les leviers de décision. Il suffit de lire le RGPD sous ces prismes.
Le RGPD va s'installer durant au moins une décennie, au rythme où vont les cycles réglementaires. Il va rendre les entreprises davantage transparentes aux yeux de tous, qu'elles y soient préparées ou non. Il n'est plus temps de bredouiller des affirmations creuses dont seuls les juristes auraient la responsabilité.
Texte de Etienne Drouard et Marine Forget
DATE-CHARGEMENT: 3 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2018 Benchmark Group
Tous droits réservés
172 of 500 DOCUMENTS
Le Cercle
mercredi 3 janvier 2018
À quels changements les banques doivent-elles s'attendre en 2018 ?
AUTEUR: Thierry Crespel
RUBRIQUE: ARTICLE; Des agences moins nombreuses, mais plus intelligentes
LONGUEUR: 929 mots
ENCART: Après de nombreuses années de stabilité, l'industrie bancaire entre dans une profonde mutation bousculant la définition traditionnelle de services telle que nous la connaissons. Entre rationalisation des automates bancaires et agences plus intelligentes, quels changements pour les banques en 2018 ?
Les changements en cours et à venir vont s'intensifier pour les banques traditionnelles (fermeture des agences, digitalisation massive des services bancaires, complémentarité entre service numérique et physique), dopés par les nouveaux entrants tels que les banques en ligne, mais aussi les GAFA et de nouveaux acteurs Fintechs. La concurrence sur le marché financier ne va cesser de croitre avec l'entrée en vigueur de la DSP2 (Directive sur les Services de Paiement) marquant l'entrée du secteur dans l'ère de l'Open Banking.
Mais surtout, 2018 sera l'année où commenceront à émerger des tendances très intéressantes qui iront bien au-delà de l'innovation technologique : de nouveaux champs de réflexions se posent quant à l'émergence de nouveaux modèles de business où le concept même de "propriété" des équipements et la mise en commun des infrastructures de gestion commenceront à être remis en discussion. Nous parlons de changements qui vont transformer en profondeur la banque traditionnelle et qui vont ouvrir de nouvelles perspectives. Il est important de s'y préparer dès à présent.
Des agences moins nombreuses, mais plus intelligentes
Afin de satisfaire les objectifs de rationalisation des réseaux, les fermetures d'agences vont se poursuivre, mais leur rôle dans la fidélisation de la clientèle va se préciser et s'intensifier. Les banques vont accélérer leurs investissements pour rendre leurs agences plus interactives et plus attractives. Ces efforts accrus dans l'automatisation et l'expérience client feront converger les différents canaux bancaires pour assurer au client un parcours homogène et cohérent sur l'ensemble des points de contact avec leur banque.
Le challenge pour ces dernières consistera à trouver le juste équilibre entre services en ligne et en face à face (numériques et physiques). En effet, l'adoption de nouvelles solutions technologiques ne doit pas se faire au détriment des contacts humains personnalisés. Cette tendance se généralise déjà dans de nombreux pays européens, où le modèle d'agence se réorganise autour d'une zone d'expérience connectée, permettant l'accès à différentes opérations en libre-service, mais aussi à des opérations en libre-service assisté par des conseillers. De plus en plus, les agences revisitent leur espace d'accueil en rivalisant de créativité. Ainsi il n'est pas rare d'y voir des cafés s'installer ou, plus classiques, des salles de réunion à louer.
La mutualisation des points de services physiques
Dans une politique constante de réduction des coûts et pour améliorer leur rentabilité, les banques se penchent également sur de nouvelles solutions de mutualisation des coûts d'infrastructure de leurs agences et de leurs automates. L'ensemble des acteurs impliqués doivent donc s'engager dans une réflexion collective autour d'une réorganisation des agences, du maillage des automates bancaires et d'une refonte globale des processus.
Ainsi, il est tout à fait envisageable de voir certaines banques mutualiser les points de services physiques tels qu'une agence ou un automate plutôt que d'avoir leur réseau d'agences et automates en nom propre ou du moins de ne garder que les plus productifs et rentables. Ceci s'inscrit dans la lignée du nouveau phénomène de "plateformisation", fondé sur la réduction du coût global, la mutualisation des infrastructures techniques et la valorisation du parcours client. Pour s'y préparer, dès lors que l'emplacement de l'agence n'est plus le facteur clé de fidélisation, les banques doivent investir dans des logiciels novateurs et des solutions de libre-service qui permettent une expérience client enrichie et différenciée sur chaque point d'interaction.
2018 : l'année des données
À l'approche de l'entrée en vigueur du RGPD (Règlement général sur la protection des données), 2018 sera une année charnière pour les banques qui souhaitent optimiser l'utilisation des données personnelles de leurs clients. Avec les nouvelles lois sur la protection des données, les consommateurs pourront, à juste titre, être tentés de remettre en question l'utilisation par les banques de leurs données personnelles.
Quoique préparées à ce changement, certaines d'entre elles pourraient être sévèrement affectées. La qualité de l'intégration de leurs systèmes clients et leur capacité à recueillir et analyser les données seront à cet égard décisif. Le risque réside aussi dans le fait que bien que conscientes du coût élevé de cette mise en conformité, là où les entreprises BtoB sous-estiment souvent leurs budgets, les banques risquent de voir ces budgets dédiés doubler d'ici la fin du projet, voire de s'étaler jusqu'en 2020.
Les nouvelles banques vont continuer à faire le buzz
En 2018, néo-banques et autres FinTechs n'ont pas fini de faire parler d'elles, car si elles ne représentent pas encore une menace critique pour les banques traditionnelles, elles méritent d'être prises au sérieux. Face à ces dernières, les acteurs historiques doivent s'organiser. Il faut s'attendre à l'émergence d'une co-création entre banques et FinTechs en tant que stratégie gagnante. Les banques ont en effet beaucoup à gagner en mettant en place des partenariats avec ces challengers.
L'expérience client au coeur de la stratégie de la banque reste la tendance principale englobant toutes celles précédemment identifiées. Avec la réduction du nombre d'agences et le rôle croissant de la technologie, il est essentiel pour les banques de savoir proposer une expérience client profondément personnalisée et continue sur l'ensemble des canaux, que ce soit en agence, en ligne ou sur appli mobile.
DATE-CHARGEMENT: 5 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
173 of 500 DOCUMENTS
Le Cercle
mercredi 3 janvier 2018
Protection des données : la Chine en marche vers le modèle européen
AUTEUR: Emmanuel Pernot
RUBRIQUE: ARTICLE; Émergence de la protection des données personnelles en Chine
LONGUEUR: 780 mots
ENCART: Alors que le Règlement Général sur la Protection des Données (RGPD) sera applicable dans l'Union européenne le 25 mai 2018, la Chine observe l'adaptation des entreprises à cette nouvelle réglementation. Le droit européen en la matière jouit d'une grande influence en Chine, qui pourrait elle-même adopter une loi similaire avant 2023.
En matière de protection des données personnelles, l'Union européenne réussit à faire prévaloir sa vision dans le monde. Elle a tôt fait le choix de garantir un niveau de protection élevé dans une grande loi consacrée au sujet, approche qui dès ses débuts a servi de modèle aux pays tiers. Les multinationales elles-mêmes choisissent souvent d'appliquer les normes européennes à leurs opérations hors d'Europe, pour des raisons de coût et d'organisation, après avoir dû s'y conformer pour accéder au colossal marché européen. Cette force de gravité du droit européen sur les standards internationaux n'était au départ qu'un effet collatéral de règles destinées au marché intérieur. Puis l'Europe, dans sa prise de conscience d'elle-même, a fait du renforcement de cette influence un des objectifs du RGPD.
Le seul véritable modèle alternatif est celui des États-Unis, privilégiant l'autorégulation et composé de multiples lois ne concernant à chaque fois que certains secteurs, entraînant une protection inégale et souvent plus faible. Mais cette approche n'a jamais rencontré le succès du modèle européen.
Émergence de la protection des données personnelles en Chine
Du fait notamment de son passé communiste, la Chine a longtemps presque ignoré le droit à la vie privée et à la protection des données personnelles. Mais depuis le début de ses travaux sur le sujet, le législateur chinois regarde vers le modèle européen. En 2005, alors qu'aucune loi sur la protection des données n'existait encore dans le pays, la Chine avait envisagé d'adopter un texte ambitieux, semblable à la directive de l'UE sur le sujet. Une loi avait été préparée, avec un large champ d'application à l'européenne, couvrant les secteurs privé et public, s'inspirant des standards internationaux et des plus stricts principes européens. Malheureusement, ce texte n'a pas passé le stade de projet et n'est jamais devenu loi.
Des années après cette première ébauche, l'émergence du Big Data a persuadé la Chine de renforcer sa cybersécurité au sens large, conviction encouragée ensuite par les révélations d'Edward Snowden. Ainsi en 2012, au moment où l'UE commence à travailler sur le RGPD, la Chine adopte ses premières lois sur la protection des données pour le secteur privé. C'est alors l'approche sectorielle à l'américaine que la Chine privilégie.
De nombreux secteurs sont concernés (postal, médical, bancaire...), mais ce sont surtout les règles destinées au secteur internet qui ont le plus d'importance. Progressivement, leur niveau de protection augmente et leur champ d'application s'étend, alors que les observateurs voient une inspiration européenne dans le contenu.
La consécration de cette tendance a lieu par la Loi Cybersécurité de 2016, texte majeur de la stratégie chinoise pour le cyberespace. La loi est notamment accompagnée de lignes directrices non contraignantes encourageant l'adoption des meilleures pratiques, clairement inspirées du RGPD. Il apparaît dès lors que le RGPD est déjà vu par le législateur chinois comme un exemple à suivre, permettant d'ailleurs de préparer les entreprises chinoises à la conformité avec le droit de l'UE, nécessaire pour profiter de son vaste marché.
Projet chinois de RGPD relancé
Parallèlement à ces récents progrès, la fuite de ces données a atteint des niveaux insupportables pour le pays. En 2016, elle a causé une perte de 91,5 milliards de yuans à l'économie chinoise (11,5 milliards d'euros), suscitant l'inquiétude d'une opinion publique déjà secouée par plusieurs affaires retentissantes. Ainsi dans l'affaire Xu Yuyu, à la suite de la divulgation de données personnelles, un malfaiteur a volé l'argent économisé par une famille pour les études de leur fille de 18 ans. La jeune fille est décédée d'une crise cardiaque en revenant du poste de police.
Ce regain d'attention rappelle la nécessité de la cohérence du renforcement de la protection des données et conduit actuellement à la réactivation du projet de 2005. Cela stimule l'optimisme de ses promoteurs, qui espèrent voir la loi adoptée sous 5 ans. Si c'est le cas et que le législateur poursuit la tendance à la convergence avec les règles européennes, il est vraisemblable qu'on y trouvera beaucoup d'éléments du RGPD.
Le chemin est encore long, mais l'évolution actuelle du droit chinois est une illustration de la capacité de l'Union européenne à exporter ses standards juridiques, grâce à l'autorité d'une réglementation uniforme et efficace à l'échelle continentale. Cette influence internationale se traduit par un avantage pour les entreprises européennes, par nature en avance sur ces exigences de conformité, ainsi que par une mondialisation à l'européenne des règles de droit.
DATE-CHARGEMENT: 4 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2018 Groupe Les Echos
tous droits réservés
174 of 500 DOCUMENTS
Le Figaro
Mardi 2 Janvier 2018
Données personnelles : les entreprises recrutent leurs experts dans l'administration ;
À l'approche du nouveau règlement de protection des données personnelles (RGPD), les régulateurs européens - la Cnil en France - constituent un vivier de choix pour les sociétés en quête de profils rares.
AUTEUR: Braun, Elisa
RUBRIQUE: MÉDIAS; Pg. 22 N° 22827
LONGUEUR: 790 words
INTERNET
Dans l'économie numérique, un discret mercato se déroule actuellement entre les autorités de régulation des données personnelles et les entreprises. En 2017, 35 juristes ont quitté le régulateur anglais, l'Information Commissioner's Office (ICO), soit environ 10 % de ses équipes, explique un porte-parole. En septembre, sa directrice Elizabeth Dunham avait poussé un cri d'alarme dans le Financial Times. Elle expliquait son impuissance face à la fuite d'experts indispensables au régulateur et auxquels elle ne pouvait offrir de meilleurs salaires et perspectives que dans le secteur privé.
Le régulateur suédois fait face à un turnover de 10 %. Un porte-parole observe que « plusieurs employés ont reçu des offres pour devenir délégués à la protection des données personnelles, souvent via LinkedIn ». En France, entre mai 2015 et mai 2017, au moins 25 agents habilités à contrôler les entreprises ont quitté la Commission nationale de l'informatique et des libertés (Cnil). Le turnover de cette catégorie du personnel est en forte progression : de 9,7 % en 2014, il est passé à près de 14 % en 2016. Pour 2017, au moins 8 départs sont confirmés.
Plusieurs de ces professionnels rejoignent les rangs d'acteurs du numérique - Microsoft, Ubisoft, Criteo, IBM, Activision-Blizzard, Facebook - mais aussi des banques (Société générale, BNP Paribas), des compagnies d'assurances (Maif, Malakoff) ou des cabinets d'avocats. Au total, près de 3 départs sur 4 de ces agents se font vers des entreprises où les enjeux autour des données personnelles sont très importants. Cet appétit des entreprises pour les agents de la Cnil s'explique en partie par un nouveau règlement général européen de protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai. Si les entreprises ne respectent pas les nombreuses obligations de ce texte, elles encourent des amendes pouvant aller jusqu'à 20 millions d'euros et 4 % de leur chiffre d'affaires mondial. Cette menace agit comme un coup de tonnerre.
Selon l'International Association of Privacy Professionals, les sociétés européennes devront recruter au moins 28 000 experts en données personnelles pour se conformer au RGPD. Celui-ci dispose que les entreprises nomment un data protection officer (DPO, délégué à la protection des données) qui, dans les faits, est une sorte de mouton à 5 pattes : bon connaisseur de la réglementation, il doit aussi faire preuve d'une bonne maîtrise technique (cybersécurité ou traitement publicitaire des données, selon son entreprise de rattachement). Il doit aussi être capable de présenter son activité devant le comité exécutif de son entreprise en cas de litige. À ce stade, il n'existe aucune formation pour ces professionnels. De fait, les « Cnil » européennes sont devenues aux yeux des entreprises les meilleures « écoles » de data protection officer et autres responsables de la vie privée.
Besoin d'experts
Interrogée, la Cnil française relativise la situation. « On n'observe pas à ce stade de départs massifs : le volume de départs sur l'année écoulée n'a rien d'inédit, assure le régulateur, qui cite une moyenne globale de 10 % de turnover. Les agents ont naturellement vocation à faire carrière, s'ils le souhaitent, en dehors de l'institution ; et ils ne peuvent ce faisant que contribuer à la bonne diffusion de la culture de la protection des données. » La Cnil saisit systématiquement la Commission de déontologie de la fonction publique (CDFP) lors de départs vers une entreprise. « À ce jour, la CDFP n'a pas rendu d'avis d'incompatibilité », indique-t-on.
Ce mercato pénalise toutefois les « Cnil » qui ont, elles aussi, massivement besoin d'experts pour faire face à leurs nouvelles missions. En Irlande, l'Irish Data Protection Commissioner (DPC) a ainsi été choisie par quelques-unes des plus grosses entreprises du numérique, comme Facebook, Dropbox ou encore Airbnb, pour devenir leur autorité référente en cas de litiges. L'autorité a recruté 35 nouveaux employés en 2017 et en espère 40 autres d'ici à fin 2018. Le gouvernement irlandais lui a également promis 4 millions d'euros de fonds supplémentaires afin de se préparer à sa montée en puissance.
Tous les régulateurs ne sont pas aussi chanceux. L'Autriche attend encore l'approbation de sa demande de 16 membres supplémentaires, tout comme l'Italie. Côté français, « des demandes de moyens complémentaires ont été formulées pour le plan triennal à venir, avec six créations de postes d'ici à 2018 », affirmait en mai Isabelle Falque-Pierrotin, présidente de la Cnil. Mais dans une interview donnée le 18 décembre à BFM Business, elle confirmait que les moyens donnés au régulateur étaient loin d'être suffisants face à la montée en puissance de l'économie numérique.
DATE-CHARGEMENT: 1 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: CNIL
En France, entre mai 2015 et mai 2017, au moins 25 agents habilités à contrôler les entreprises ont quitté la Cnil. Plusieurs d'entre eux ont rejoint le secteur privé. (Ci-dessus : le siège du régulateur à Paris)
J.-C. Marmara/ LE FIGARO
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous droits réservés
175 of 500 DOCUMENTS
Le Figaro Économie
Mardi 2 Janvier 2018
Données personnelles : les entreprises recrutent leurs experts dans l'administration
AUTEUR: Braun, Elisa
RUBRIQUE: MÉDIAS; Pg. 22 N° 22827
LONGUEUR: 790 mots
INTERNET Dans l'économie numérique, un discret mercato se déroule actuellement entre les autorités de régulation des données personnelles et les entreprises. En 2017, 35 juristes ont quitté le régulateur anglais, l'Information Commissioner's Office (ICO), soit environ 10 % de ses équipes, explique un porte-parole. En septembre, sa directrice Elizabeth Dunham avait poussé un cri d'alarme dans le Financial Times. Elle expliquait son impuissance face à la fuite d'experts indispensables au régulateur et auxquels elle ne pouvait offrir de meilleurs salaires et perspectives que dans le secteur privé. Le régulateur suédois fait face à un turnover de 10 %. Un porte-parole observe que « plusieurs employés ont reçu des offres pour devenir délégués à la protection des données personnelles, souvent via Linked In ». En France, entre mai 2015 et mai 2017, au moins 25 agents habilités à contrôler les entreprises ont quitté la Commission nationale de l'informatique et des libertés (Cnil). Le turnover de cette catégorie du personnel est en forte progression : de 9,7 % en 2014, il est passé à près de 14 % en 2016. Pour 2017, au moins 8 départs sont confirmés. Plusieurs de ces professionnels rejoignent les rangs d'acteurs du numérique - Microsoft, Ubisoft, Criteo, IBM, Activision-Blizzard, Facebook - mais aussi des banques (Société générale, BNP Paribas), des compagnies d'assurances (Maif, Malakoff) ou des cabinets d'avocats.
Au total, près de 3 départs sur 4 de ces agents se font vers des entreprises où les enjeux autour des données personnelles sont très importants. Cet appétit des entreprises pour les agents de la Cnil s'explique en partie par un nouveau règlement général européen de protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai. Si les entreprises ne respectent pas les nombreuses obligations de ce texte, elles encourent des amendes pouvant aller jusqu'à 20 millions d'euros et 4 % de leur chiffre d'affaires mondial. Cette menace agit comme un coup de tonnerre. Selon l'International Association of Privacy Professionals, les sociétés européennes devront recruter au moins 28 000 experts en données personnelles pour se conformer au RGPD. Celui-ci dispose que les entreprises nomment un data protection officer (DPO, délégué à la protection des données) qui, dans les faits, est une sorte de mouton à 5 pattes : bon connaisseur de la réglementation, il doit aussi faire preuve d'une bonne maîtrise technique (cybersécurité ou traitement publicitaire des données, selon son entreprise de rattachement). Il doit aussi être capable de présenter son activité devant le comité exécutif de son entreprise en cas de litige. À ce stade, il n'existe aucune formation pour ces professionnels. De fait, les « Cnil » européennes sont devenues aux yeux des entreprises les meilleures « écoles » de data protection officer et autres responsables de la vie privée.
Besoin d'experts
Interrogée, la Cnil française relativise la situation. « On n'observe pas à ce stade de départs massifs : le volume de départs sur l'année écoulée n'a rien d'inédit, assure le régulateur, qui cite une moyenne globale de 10 % de turnover. Les agents ont naturellement vocation à faire carrière, s'ils le souhaitent, en dehors de l'institution ; et ils ne peuvent ce faisant que contribuer à la bonne diffusion de la culture de la protection des données. » La Cnil saisit systématiquement la Commission de déontologie de la fonction publique (CDFP) lors de départs vers une entreprise. « À ce jour, la CDFP n'a pas rendu d'avis d'incompatibilité », indique-t-on.Ce mercato pénalise toutefois les « Cnil » qui ont, elles aussi, massivement besoin d'experts pour faire face à leurs nouvelles missions. En Irlande, l'Irish Data Protection Commissioner (DPC) a ainsi été choisie par quelques-unes des plus grosses entreprises du numérique, comme Facebook, Dropbox ou encore Airbnb, pour devenir leur autorité référente en cas de litiges. L'autorité a recruté 35 nouveaux employés en 2017 et en espère 40 autres d'ici à fin 2018. Le gouvernement irlandais lui a également promis 4 millions d'euros de fonds supplémentaires afin de se préparer à sa montée en puissance.Tous les régulateurs ne sont pas aussi chanceux. L'Autriche attend encore l'approbation de sa demande de 16 membres supplémentaires, tout comme l'Italie. Côté français, « des demandes de moyens complémentaires ont été formulées pour le plan triennal à venir, avec six créations de postes d'ici à 2018 », affirmait en mai Isabelle Falque-Pierrotin, présidente de la Cnil. Mais dans une interview donnée le 18 décembre à BFM Business, elle confirmait que les moyens donnés au régulateur étaient loin d'être suffisants face à la montée en puissance de l'économie numérique.
DATE-CHARGEMENT: 1 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: En France, entre mai 2015 et mai 2017, au moins 25 agents habilités à contrôler les entreprises ont quitté la Cnil. Plusieurs d'entre eux ont rejoint le secteur privé. (Ci-dessus : le siège du régulateur à Paris)
J.-C. Marmara/ LE FIGARO
TYPE-PUBLICATION: Journal
Copyright 2018 Le Figaro
Tous Droits Réservés
176 of 500 DOCUMENTS
Le Figaro Online
lundi 1 janvier 2018 06:43 PM GMT
Données personnelles : les entreprises recrutent leurs experts dans l'administration
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 788 mots
ENCART: À l'approche du nouveau règlement de protection des données personnelles (RGPD), les régulateurs européens - la Cnil en France - constituent un vivier de choix pour les sociétés en quête de profils rares.
Dans l'économie numérique, un discret mercato se déroule actuellement entre les autorités de régulation des données personnelles et les entreprises. En 2017, 35 juristes ont quitté le régulateur anglais, l'Information Commissioner's Office (ICO), soit environ 10 % de ses équipes, explique un porte-parole. En septembre, sa directrice Elizabeth Dunham avait poussé un cri d'alarme dans le Financial Times. Elle expliquait son impuissance face à la fuite d'experts indispensables au régulateur et auxquels elle ne pouvait offrir de meilleurs salaires et perspectives que dans le secteur privé.
Le régulateur suédois fait face à un turnover de 10 %. Un porte-parole observe que «plusieurs employés ont reçu des offres pour devenir délégués à la protection des données personnelles, souvent via LinkedIn». En France, entre mai 2015 et mai 2017, au moins 25 agents habilités à contrôler les entreprises ont quitté la Commission nationale de l'informatique et des libertés (Cnil). Le turnover de cette catégorie du personnel est en forte progression: de 9,7 % en 2014, il est passé à près de 14 % en 2016. Pour 2017, au moins 8 départs sont confirmés.
Le menace du RGPD
Plusieurs de ces professionnels rejoignent les rangs d'acteurs du numérique - Microsoft, Ubisoft, Criteo, IBM, Activision-Blizzard, Facebook - mais aussi des banques (Société générale, BNP Paribas), des compagnies d'assurances (Maif, Malakoff) ou des cabinets d'avocats. Au total, près de 3 départs sur 4 de ces agents se font vers des entreprises où les enjeux autour des données personnelles sont très importants. Cet appétit des entreprises pour les agents de la Cnil s'explique en partie par un nouveau règlement général européen de protection des données personnelles (RGPD) qui entrera en vigueur le 25 mai. Si les entreprises ne respectent pas les nombreuses obligations de ce texte, elles encourent des amendes pouvant aller jusqu'à 20 millions d'euros et 4 % de leur chiffre d'affaires mondial. Cette menace agit comme un coup de tonnerre.
Selon l'International Association of Privacy Professionals, les sociétés européennes devront recruter au moins 28.000 experts en données personnelles pour se conformer au RGPD. Celui-ci dispose que les entreprises nomment un data protection officer (DPO, délégué à la protection des données) qui, dans les faits, est une sorte de mouton à 5 pattes: bon connaisseur de la réglementation, il doit aussi faire preuve d'une bonne maîtrise technique (cybersécurité ou traitement publicitaire des données, selon son entreprise de rattachement). Il doit aussi être capable de présenter son activité devant le comité exécutif de son entreprise en cas de litige. À ce stade, il n'existe aucune formation pour ces professionnels. De fait, les «Cnil» européennes sont devenues aux yeux des entreprises les meilleures «écoles» de data protection officer et autres responsables de la vie privée.
Besoin d'experts
Interrogée, la Cnil française relativise la situation. «On n'observe pas à ce stade de départs massifs: le volume de départs sur l'année écoulée n'a rien d'inédit, assure le régulateur, qui cite une moyenne globale de 10 % de turnover. Les agents ont naturellement vocation à faire carrière, s'ils le souhaitent, en dehors de l'institution ; et ils ne peuvent ce faisant que contribuer à la bonne diffusion de la culture de la protection des données.» La Cnil saisit systématiquement la Commission de déontologie de la fonction publique (CDFP) lors de départs vers une entreprise. «À ce jour, la CDFP n'a pas rendu d'avis d'incompatibilité», indique-t-on.
Ce mercato pénalise toutefois les «Cnil» qui ont, elles aussi, massivement besoin d'experts pour faire face à leurs nouvelles missions. En Irlande, l'Irish Data Protection Commissioner (DPC) a ainsi été choisie par quelques-unes des plus grosses entreprises du numérique, comme Facebook, Dropbox ou encore Airbnb, pour devenir leur autorité référente en cas de litiges. L'autorité a recruté 35 nouveaux employés en 2017 et en espère 40 autres d'ici à fin 2018. Le gouvernement irlandais lui a également promis 4 millions d'euros de fonds supplémentaires afin de se préparer à sa montée en puissance.
Tous les régulateurs ne sont pas aussi chanceux. L'Autriche attend encore l'approbation de sa demande de 16 membres supplémentaires, tout comme l'Italie. Côté français, «des demandes de moyens complémentaires ont été formulées pour le plan triennal à venir, avec six créations de postes d'ici à 2018», affirmait en mai Isabelle Falque-Pierrotin, présidente de la Cnil. Mais dans une interview donnée le 18 décembre à BFM Business, elle confirmait que les moyens donnés au régulateur étaient loin d'être suffisants face à la montée en puissance de l'économie numérique.
DATE-CHARGEMENT: 1 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2018 Le Figaro
Tous droits réservés
177 of 500 DOCUMENTS
Economie Matin
30 décembre 2017 04:00 AM GMT
Directeurs marketing, innovez avec plus d'agilité
LONGUEUR: 1431 mots
La course à l'armement sur les sujets digitaux est désormais entre les mains des CMO. Le rythme business des industries pharmaceutiques et du secteur de la santé n'est plus le rythme des Directions Informatiques. Le " Time To Market " du web appelle des méthodes nouvelles et des prises de risques. De plus en plus, les projets web sont financés par les BU métiers et les directions de l'innovation. Mais respectivement, la DSI reste le grand garant de la sécurité de l'entreprise, d'autant plus avec la mise en oeuvre très prochaine du RGPD.
Sachons garder à l'esprit le rôle d'approbateur général de la DSI, qui dispose tout à la fois d'une vision large de la culture de l'entreprise et de la politique informatique à respecter. Gérer un projet numérique au rythme du business est donc un projet sans DSI au quotidien. Pour y parvenir, voici dix suggestions classiquement constantes d'un succès. Recrutez votre prestataire comme vos collaborateurs Les niveaux d'exigence varient amplement d'un projet web à l'autre, en fonction de l'attendu final, de la criticité business et du porteur du projet. Un site wordpress d'information sur les produits de l'entreprise, adressant par exemple une problématique RSE, n'affiche pas le même degré d'engagement qu'un mini-site de lancement d'une nouvelle marque. Agrave; chaque projet correspond donc un prestataire qui saura partager avec l'équipe l'ambition et les objectifs qu'elle affiche. Il doit partager avec elle les facteurs clés de succès, et témoigner des méthodes qui y conduiront. Peu importe la destination, seul le voyage compte Cela ressemble à l'axiome d'un coach en développement personnel et pourtant, à chaque nouveau projet web, le chemin à parcourir est bien souvent plus important que le résultat à obtenir. Souvenez-vous de vos expériences précédentes : vos livrables sont-ils identiques à votre cahier des charges initial ? Si non, est-ce dû à l'évolution de votre roadmap ou encore à une proposition de vos partenaires ? Il y aura toujours des cahiers des charges à suivre et des objectifs à tenir, mais il faudra savoir éviter l'écueil de la frustration et des blocages qu'ils peuvent engendrer. D'une part, le produit attendu peut se révéler être une mauvaise réponse, seule l'expérience du produit peut le dire. D'autre part, à trop cadrer votre prestataire, vous prenez le risque de brider son élan d'innovation. C'est pourtant sur cette qualité que vous l'avez, entre autres, sélectionné. Préférez une vision générale du projet et procédez par itération. Laissez de la place aux bonnes surprises. Ne négligez pas l'hébergement et l'infogérance Réfléchir à l'hébergement en mode pompier est le signe d'un manque de préparation qui peut conduire tout droit à l'échec d'un projet. Un infogéreur n'est en mesure de tenir ses engagements que s'il entre suffisamment tôt dans le circuit. Il saura en outre mieux définir l'architecture utile et cela en peu de temps. Une équipe efficacement constituée réunira donc un représentant métier, un développeur, un expert en UX design et un architecte DevOps, pour une proposition cohérente de A à Z. Montez une équipe cross fonctionnelle Justement. Fer de lance de tout projet web, que l'on retrouve évidemment à chaque étape, la fameuse Pizza Team ne porte ce nom que parce qu'une pizza (grande taille) doit pouvoir nourrir toute une équipe. Bref, c'est une équipe réduite à sa plus simple expression qui évite toute déresponsabilisation et son corollaire, l'inertie. C'est une équipe certes petite mais qui couvrira toutes les compétences utiles. Au maximum, dans cette feature team, on retrouvera un product owner ou chef de projet, un lead developer, un architecte, un responsable de la sécurité, un UX ou directeur artistique et un scrum master éventuellement si l'équipe choisit cette méthode. Cela sous-entend de tordre le cou à tout ce qui pourrait ralentir la prise de décision de l'un ou l'autre membre de l'équipe. Ayez une approche agile Il est inutile de tergiverser, l'agile est un standard pour travailler correctement sur un projet web, compte tenu de la vélocité que cela exige. C'est ainsi que l'on parle de minimal valuable product, le produit minimum, devant fonctionner parfaitement, pour être livré, exploité et surtout évalué sur sa capacité à répondre aux objectifs attendus. Afin d'illustrer ce propos, imaginons que l'attendu soit un véhicule pour se déplacer plus rapidement. La première itération proposera peut-être alors un skateboard afin de répondre au besoin primaire. La deuxième, sans doute une trottinette et ce, jusqu'à la voiture. Le MVP fait peu, mais il le fait bien. Il est disponible rapidement et permet tout aussi rapidement de décider de l'orientation à prendre ensuite. C'est l'exact opposé du cycle en V. Oubliez le cycle en V. Partagez avec tous des KPI communs Et ce dès les premiers échanges. Concrètement, si le métier se fixe x milliers de nouveaux leads générés sur une période de 6 mois, c'est autant un objectif qu'un KPI, que tous les acteurs du projet doivent connaître. Cela vous paraît très éloigné des préoccupations d'un développeur ? d'un intégrateur ? d'un expert UX ? Bien au contraire, c'est un jalon, qui contribuera à façonner l'état d'esprit des membres de l'équipe, et qui aidera chacun à s'extraire de ses objectifs individuels. Il y a souvent quelques surprises à la livraison d'un projet, que l'on peut aisément éviter en communiquant plus sur les caractéristiques attendues. Il va de soi que pour partager utilement, on utilisera des outils de communication identiques : gestion de projet, tchat, monitoring... JIRA par exemple est une solution de gestion de projet classiquement utilisée par les développeurs et qui fait aujourd'hui le pont entre tous les acteurs d'un projet web, dont les métiers, qui se l'approprient aisément. Optez pour le DevOps DevOps, c'est accepter qu'un projet web évolue. C'est dans la nature d'un projet web que de changer. Avec le DevOps, les devs industrialisent leur travail en partageant des outils d'intégration continue, de livraison en continu et déploient plus rapidement de façon fiable et automatisée. Ceci en limitant les risques sur la production avec un monitoring partagé. Toute évolution d'une roadmap réalisée par les développeurs doit pouvoir être absorbée par les ops' (admin systèmes) sans douleur, sans que cela ait d'impact sur la manière d'opérer le service. Ce qui marche dans un environnement d'intégration doit marcher dans un environnement de production, c'est-à-dire chez l'utilisateur final, de la même façon. Ouvrez votre porte au cloud public Maintes fois mis en avant, le grand avantage du cloud public est la flexibilité qu'il apporte. Disposer de la puissance et de la performance utile, ni plus, ni moins, pour l'exploitation de son service, va au-delà d'une simple question de confort. C'est se donner les moyens de rester en rythme avec l'évolution de son marché, que l'on sait particulièrement versatile sur le web. Mais plus généralement, c'est aussi une nécessité pour innover. Les services proposés par les Cloud Provider exigeraient en interne des efforts trop coûteux. Un service de Big Data à la demande, un service de Push Notification prêt à l'emploi, une base de données auto-gérée... ne seront jamais livrés par une DSI en un clic comme sur un cloud public. Pensez votre sécurité by design Le RGPD aura de nombreux effets positifs notamment dans la mise en oeuvre de bonnes pratiques. Le principe de privacy by design notamment devrait être un coup de pied dans la fourmilière des projets web à la sécurité pensée en dépit du bon sens ou pour être précis, pensée à l'étape de la mise en production, autant le dire, bien trop tard. La sécurité est l'affaire de la DSI et s'il ne fallait donner qu'un seul conseil, ce serait celui de la consulter dès les premières étapes d'un projet, quel qu'il soit. Autant pour la paix dans l'entreprise que pour des raisons de coût supplémentaire et de délais. Communiquez sur vos facteurs clé de succès En tant que chef de projet, il est indispensable de marteler ses objectifs à sa feature team, mais également à sa direction et à ses partenaires. Voire à tous ceux qui ne sont pas vraiment concernés au départ, car ce n'est jamais du temps perdu. Ce qui peut être perçu comme un succès par les uns ne le sera pas forcément par d'autres. Tout dépend du degré d'information de chacun. Pour partager sa joie d'avoir réussi, ou continuer d'être soutenu, la roadmap (notamment business) et ses évolutions doivent être connues de tous.
DATE-CHARGEMENT: 4 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
178 of 500 DOCUMENTS
La Nouvelle Tribune
30 Décembre 2017
Cybersécurité: ce qui va faire peur en 2018
AUTEUR: LNT
LONGUEUR: 812 mots
Paris - Après les spectaculaires attaques des virus Wannacry et NotPetya, qui ont paralysé des entreprises entières au printemps, les pirates informatiques devraient poursuivre sur leur lancée en 2018, préviennent des spécialistes de la cybersécurité.
Les « ransomwares » (ou « rançongiciels » en français) sont la menace qui a le plus fait parler d'elle cette année. Il s'agit de « malwares », des logiciels malveillants qui cryptent les données des ordinateurs attaqués: les propriétaires ne peuvent espérer les recouvrer que contre paiement d'une rançon.
« Le modèle économique de ces attaques est efficace. Les cybercriminels vont sans doute désormais chercher à cibler préférentiellement certaines entreprises, pour obtenir des rançons certes moins nombreuses, mais plus élevées », estime Päivi Tynninen, chercheuse chez le finlandais F-Secure.
Des entreprises font d'ailleurs provision de bitcoins pour payer des rançons, au cas où, selon Paul Taylor, spécialiste de la cybersécurité chez KPMG.
Les objets connectés sont un autre sujet de préoccupation majeur, alors que les machines dites « intelligentes » communiquent de plus en plus entre elles.
Le « mélange des genres entre sphère privée et professionnelle n'est pas sans poser quelques défis aux équipes de sécurité » informatique, souligne l'éditeur d'antivirus américain Fortinet.
L'éditeur japonais Trend Micro prévoit lui aussi « une augmentation des failles liées aux objets connectés, de plus en plus d'appareils étant conçus sans respecter les réglementations de sécurité ni les normes industrielles ».
« Ainsi, la connectivité accrue et l'augmentation de la surface d'attaque permettent aux cybercriminels de mieux exploiter les failles connues dans le but d'infiltrer les réseaux d'entreprise », prévient-il. »
Si l'on travaille à distance et sur un réseau public non protégé, c'est toute l'organisation que l'on met en danger à la fois pour ses propres données, mais également en rendant son périphérique susceptible d'être la cible d'un piratage involontaire pour faire partie d'un réseau de robots », relève le spécialiste américain des réseaux Ixia.
Ces robots (« botnets »), aussi appelés zombies, seront les discrets petits soldats d'une armée prête à faire des mauvais coups sur le net. Le télétravail, notamment, pose problème, les terminaux nomades étant autant de points d'accès potentiels pour les cyberpirates.
- Technologies émergentes -
Dans la même sphère de la connectivité, les spécialistes consultés par l'AFP appellent à la plus grande vigilance face au développement du « cloud » (l'informatique en nuage).
Les entreprises utilisent en effet des logiciels et stockent leurs données sur des serveurs distants qui ne leur appartiennent pas. Uber par exemple avait été victime du piratage des données de 57 millions d'utilisateurs stockées sur un tel serveur.
Et la révélation en octobre d'une vulnérabilité du protocole servant à protéger les échanges wifi pourrait donner des idées aux cybercriminels, avance Airbus CyberSecurity.
« Cette faille leur permet d'intercepter et d'espionner la connexion wifi entre les appareils et le routeur wifi et même, dans certains cas, d'injecter des données malveillantes dans des sites web. Elle pourrait également leur permettre de pirater les informations sensibles contenues sur ces appareils, comme les données relatives aux cartes de crédit, les mots de passe, les messages instantanés et les e-mails », écrit la filiale de l'avionneur européen.
Après Wannacry et NotPetya, qui ont surpris tout le monde cette année, la course à l'originalité devrait également se poursuivre avec une utilisation des dernières nouveautés technologiques.
« Les cybercriminels capitaliseront sur les technologies émergentes, telles que la blockchain et le machine learning (système d'apprentissage de l'intelligence artificielle, ndlr), afin de mieux tromper les solutions de cybersécurité classiques », estime Trend Micro.
En attendant, il vaut mieux être à jour, disent les professionnels (qui ont, il est vrai, intérêt à vendre leurs produits).
« En 2017, de nombreuses cyberattaques de grande ampleur ont exploité des failles connues qui auraient pu être protégées si elles avaient bénéficié de +patchs+ (correctifs ndlr). Une tendance qui devrait se poursuivre l'année prochaine », note ainsi Rik Ferguson, numéro deux de la recherche chez Trend Micro.
L'entrée en vigueur le 25 mai du Règlement général sur la protection des données (RGPD), un texte européen, va toutefois obliger les entreprises à se préparer et à établir des scénarios en cas d'éventuelles attaques informatique.
Enfin, les autorités craignent toujours des cyberattentats qui pourraient atteindre des infrastructures vitales, telles que les hôpitaux, les installations nucléaires ou les chemins de fer.
LNT avec AFP
The post Cybersécurité: ce qui va faire peur en 2018 appeared first on La Nouvelle Tribune.
DATE-CHARGEMENT: 30 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: 824
Copyright 2017 La Nouvelle Tribune
Provided by Syndigate Media Inc.
Tous droits réservés
179 of 500 DOCUMENTS
Challenges.fr
vendredi 29 décembre 2017 10:11 AM GMT
Cyberattaques: les hackers vont s'en donner à coeur joie en 2018
AUTEUR: Challenges
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 789 mots
ENCART: Après les spectaculaires attaques des virus Wannacry et NotPetya, qui ont paralysé des entreprises entières au printemps, les pirates informatiques devraient poursuivre sur leur lancée en 2018, préviennent des spécialistes de la cybersécurité.
Après les spectaculaires attaques des virus Wannacry et NotPetya, qui ont paralysé des entreprises entières au printemps, les pirates informatiques devraient poursuivre sur leur lancée en 2018, préviennent des spécialistes de la cybersécurité. Les "ransomwares" (ou "rançongiciels" en français) sont la menace qui a le plus fait parler delle cette année. Il sagit de "malwares", des logiciels malveillants qui cryptent les données des ordinateurs attaqués: les propriétaires ne peuvent espérer les recouvrer que contre paiement dune rançon.
"Le modèle économique de ces attaques est efficace. Les cybercriminels vont sans doute désormais chercher à cibler préférentiellement certaines entreprises, pour obtenir des rançons certes moins nombreuses, mais plus élevées", estime Päivi Tynninen, chercheuse chez le finlandais F-Secure.
Des entreprises font dailleurs provision de bitcoins pour payer des rançons, au cas où, selon Paul Taylor, spécialiste de la cybersécurité chez KPMG. Les objets connectés sont un autre sujet de préoccupation majeur, alors que les machines dites "intelligentes" communiquent de plus en plus entre elles. Le "mélange des genres entre sphère privée et professionnelle nest pas sans poser quelques défis aux équipes de sécurité" informatique, souligne léditeur dantivirus américain Fortinet.
Léditeur japonais Trend Micro prévoit lui aussi "une augmentation des failles liées aux objets connectés, de plus en plus dappareils étant conçus sans respecter les réglementations de sécurité ni les normes industrielles". "Ainsi, la connectivité accrue et laugmentation de la surface dattaque permettent aux cybercriminels de mieux exploiter les failles connues dans le but dinfiltrer les réseaux dentreprise", prévient-il.
Le télétravail, notamment, pose problème, les terminaux nomades étant autant de points daccès potentiels pour les cyberpirates. "Si lon travaille à distance et sur un réseau public non protégé, cest toute lorganisation que lon met en danger à la fois pour ses propres données, mais également en rendant son périphérique susceptible dêtre la cible dun piratage involontaire pour faire partie dun réseau de robots", relève le spécialiste américain des réseaux Ixia. Ces robots ("botnets"), aussi appelés zombies, seront les discrets petits soldats dune armée prête à faire des mauvais coups sur le net.
Technologies émergentes
Dans la même sphère de la connectivité, les spécialistes consultés par lAFP appellent à la plus grande vigilance face au développement du "cloud" (linformatique en nuage). Les entreprises utilisent en effet des logiciels et stockent leurs données sur des serveurs distants qui ne leur appartiennent pas. Uber par exemple avait été victime du piratage des données de 57 millions dutilisateurs stockées sur un tel serveur.
Et la révélation en octobre dune vulnérabilité du protocole servant à protéger les échanges wifi pourrait donner des idées aux cybercriminels, avance Airbus CyberSecurity. "Cette faille leur permet dintercepter et despionner la connexion wifi entre les appareils et le routeur wifi et même, dans certains cas, dinjecter des données malveillantes dans des sites web. Elle pourrait également leur permettre de pirater les informations sensibles contenues sur ces appareils, comme les données relatives aux cartes de crédit, les mots de passe, les messages instantanés et les e-mails", écrit la filiale de lavionneur européen.
Après Wannacry et NotPetya, qui ont surpris tout le monde cette année, la course à loriginalité devrait également se poursuivre avec une utilisation des dernières nouveautés technologiques. "Les cybercriminels capitaliseront sur les technologies émergentes, telles que la blockchain et le machine learning (système dapprentissage de lintelligence artificielle, ndlr), afin de mieux tromper les solutions de cybersécurité classiques", estime Trend Micro.
En attendant, il vaut mieux être à jour, disent les professionnels (qui ont, il est vrai, intérêt à vendre leurs produits). "En 2017, de nombreuses cyberattaques de grande ampleur ont exploité des failles connues qui auraient pu être protégées si elles avaient bénéficié de +patchs+ (correctifs ndlr). Une tendance qui devrait se poursuivre lannée prochaine", note ainsi Rik Ferguson, numéro deux de la recherche chez Trend Micro.
Lentrée en vigueur le 25 mai du Règlement général sur la protection des données (RGPD), un texte européen, va toutefois obliger les entreprises à se préparer et à établir des scénarios en cas déventuelles attaques informatique. Enfin, les autorités craignent toujours des cyberattentats qui pourraient atteindre des infrastructures vitales, telles que les hôpitaux, les installations nucléaires ou les chemins de fer.
(Avec AFP)
DATE-CHARGEMENT: December 29, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2017 Challenges
tous droits réservés
180 of 500 DOCUMENTS
Challenges.fr
vendredi 29 décembre 2017 8:57 AM GMT
Cybersécurité: ce qui va faire peur en 2018
AUTEUR: AFP
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 788 mots
Après les spectaculaires attaques des virus Wannacry et NotPetya, qui ont paralysé des entreprises entières au printemps, les pirates informatiques devraient poursuivre sur leur lancée en 2018, préviennent des spécialistes de la cybersécurité.
Les "ransomwares" (ou "rançongiciels" en français) sont la menace qui a le plus fait parler delle cette année. Il sagit de "malwares", des logiciels malveillants qui cryptent les données des ordinateurs attaqués: les propriétaires ne peuvent espérer les recouvrer que contre paiement dune rançon.
"Le modèle économique de ces attaques est efficace. Les cybercriminels vont sans doute désormais chercher à cibler préférentiellement certaines entreprises, pour obtenir des rançons certes moins nombreuses, mais plus élevées", estime Päivi Tynninen, chercheuse chez le finlandais F-Secure.
Des entreprises font dailleurs provision de bitcoins pour payer des rançons, au cas où, selon Paul Taylor, spécialiste de la cybersécurité chez KPMG.
Les objets connectés sont un autre sujet de préoccupation majeur, alors que les machines dites "intelligentes" communiquent de plus en plus entre elles.
Le "mélange des genres entre sphère privée et professionnelle nest pas sans poser quelques défis aux équipes de sécurité" informatique, souligne léditeur dantivirus américain Fortinet.
Léditeur japonais Trend Micro prévoit lui aussi "une augmentation des failles liées aux objets connectés, de plus en plus dappareils étant conçus sans respecter les réglementations de sécurité ni les normes industrielles".
"Ainsi, la connectivité accrue et laugmentation de la surface dattaque permettent aux cybercriminels de mieux exploiter les failles connues dans le but dinfiltrer les réseaux dentreprise", prévient-il.
Le télétravail, notamment, pose problème, les terminaux nomades étant autant de points daccès potentiels pour les cyberpirates.
"Si lon travaille à distance et sur un réseau public non protégé, cest toute lorganisation que lon met en danger à la fois pour ses propres données, mais également en rendant son périphérique susceptible dêtre la cible dun piratage involontaire pour faire partie dun réseau de robots", relève le spécialiste américain des réseaux Ixia. Ces robots ("botnets"), aussi appelés zombies, seront les discrets petits soldats dune armée prête à faire des mauvais coups sur le net.
- Technologies émergentes -
Dans la même sphère de la connectivité, les spécialistes consultés par lAFP appellent à la plus grande vigilance face au développement du "cloud" (linformatique en nuage).
Les entreprises utilisent en effet des logiciels et stockent leurs données sur des serveurs distants qui ne leur appartiennent pas. Uber par exemple avait été victime du piratage des données de 57 millions dutilisateurs stockées sur un tel serveur.
Et la révélation en octobre dune vulnérabilité du protocole servant à protéger les échanges wifi pourrait donner des idées aux cybercriminels, avance Airbus CyberSecurity.
"Cette faille leur permet dintercepter et despionner la connexion wifi entre les appareils et le routeur wifi et même, dans certains cas, dinjecter des données malveillantes dans des sites web. Elle pourrait également leur permettre de pirater les informations sensibles contenues sur ces appareils, comme les données relatives aux cartes de crédit, les mots de passe, les messages instantanés et les e-mails", écrit la filiale de lavionneur européen.
Après Wannacry et NotPetya, qui ont surpris tout le monde cette année, la course à loriginalité devrait également se poursuivre avec une utilisation des dernières nouveautés technologiques.
"Les cybercriminels capitaliseront sur les technologies émergentes, telles que la blockchain et le machine learning (système dapprentissage de lintelligence artificielle, ndlr), afin de mieux tromper les solutions de cybersécurité classiques", estime Trend Micro.
En attendant, il vaut mieux être à jour, disent les professionnels (qui ont, il est vrai, intérêt à vendre leurs produits).
"En 2017, de nombreuses cyberattaques de grande ampleur ont exploité des failles connues qui auraient pu être protégées si elles avaient bénéficié de +patchs+ (correctifs ndlr). Une tendance qui devrait se poursuivre lannée prochaine", note ainsi Rik Ferguson, numéro deux de la recherche chez Trend Micro.
Lentrée en vigueur le 25 mai du Règlement général sur la protection des données (RGPD), un texte européen, va toutefois obliger les entreprises à se préparer et à établir des scénarios en cas déventuelles attaques informatique.
Enfin, les autorités craignent toujours des cyberattentats qui pourraient atteindre des infrastructures vitales, telles que les hôpitaux, les installations nucléaires ou les chemins de fer.
DATE-CHARGEMENT: December 29, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2017 Challenges
tous droits réservés
181 of 500 DOCUMENTS
Economie Matin
29 décembre 2017 04:00 AM GMT
Data : les prédictions pour l'année 2018
LONGUEUR: 1037 mots
L'incertitude politique et les évolutions règlementaires peuvent laisser penser que 2018 puisse être une année imprévisible pour les affaires. La clé de la réussite se trouvera dans le bon équilibre entre pragmatisme et créativité, les entreprises tendant à développer leurs capacités d'agilité, de flexibilité et de conformité. Cloud et réseau indissociablement liés Et le réseau tire son épingle du jeu. Le Cloud a maintenant plus de dix ans (11 même pour être précis) et certains voudraient nous faire croire qu'il a renvoyé les anciens systèmes informatiques à l'âge de pierre. Mais dans les faits, les anciens systèmes perdurent, certains fonctionnant encore parfaitement bien et à moindre coût, ce qui veut dire que parier sur leur disparition est prématuré. 2018 pourrait être l'année où les anciens systèmes commenceront à trouver leur place dans l'environnement informatique, leur intégration aux infrastructures digitales donnant naissance à des plateformes hybrides.
Dans une étude menée pour le compte d'Interoute en 2017, l'intégration des anciens environnements avec les applications numériques hébergées dans le cloud arrive en pole position des défis que les entreprises européennes veulent relever quand elles parlent d'accomplir leurs ambitions de transformation digitale. Et c'est là que les opérateurs qui peuvent s'appuyer sur le réseau pour relever ce défi tireront leur épingle du jeu, les entreprises faisant part de leur volonté de connecter toute leur informatique. Et pour cela, il est important que le cloud soit parfaitement intégré au réseau. En parallèle, 2018 verra l'émergence d'un réseau flexible, optimisé autant pour les applications que pour le cloud, présent aussi bien dans les bureaux, les centres de données, les sites de fabrication, que dans les centres opérationnels et, plus important, regroupant toutes les plateformes IaaS, PaaS et SaaS résolument si proches du périmètre informatique. Le réseau contribue à la croissance du traitement des données à sa périphérie et au bon dimensionnement de l'IT Une seconde vague d'intégration de l'infrastructure informatique va s'accélérer en 2018. L'Edge Computing, consistant à traiter les données à la périphérie du réseau et non dans des data centres, sera rendu possible grâce à une couche pilotée par logiciel (SDN) améliorée et sensible aux applications. Une même infrastructure, servant déjà de passerelle entre les deux mondes de l'informatique locale et des clouds centraux, intégrera et consolidera également les fonctions réseau et informatique, engloutissant de nombreuses charges de travail locales et rendant n'importe quelle autre infrastructure informatique locale largement redondante. De manière critique, cela permettra aux directeurs informatiques et aux DSI d'exécuter les charges de travail à l'emplacement optimal pour leurs utilisateurs, afin d'améliorer les performances de l'application. Il s'agit d'un nouvel usage pour une capacité existante. Après tout, le réseau a toujours répondu aux besoins d'une infrastructure locale à grande échelle. Qui a dit trois niveaux ? Si tout cela ressemble à des architectures à trois niveaux remplaçant des infrastructures centrales monolithiques (comprendre Cloud) et des architectures client-serveur mal intégrées, eh bien, oui. En reprenant la citation inimitable d'Oscar Wilde, " l'imitation est la forme de flatterie la plus sincère ". Finalement, nous avons fait passer les charges de travail génériques triviales dans le giron de l'informatique et elles sont devenues l'affaire de spécialistes. Pour utiliser au mieux cette fonctionnalité, les clients devront adresser toute cette infrastructure informatique avec de la programmation. En 2018, vous devriez vous mettre en quête d'offres d'infrastructure automatisée assurant également la compatibilité du traitement des données à la périphérie avec le Cloud. Pour les développeurs de logiciels les plus expérimentés, rappelez-vous comment la technique propriétaire DCOM a rendu COM utile, et comment Corba s'est maintenu. Qu'a fait Corba ? C'est probablement la différence entre l'infrastructure informatique de bricolage et la recherche du partenaire idéal pour votre entreprise. Des efforts récompensés lors de l'entrée en vigueur du RGPD Le RGPD va enfin faire ses preuves avec l'entrée en vigueur de ce nouveau règlement en mai 2018. On parle beaucoup des amendes potentielles en cas de défaillance du RGPD, mais pour déterminer leur montant exact, ce dernier exige que l'autorité de contrôle prenne en compte un certain nombre de facteurs parmi lesquels, par exemple, la nature des données en question, les mesures d'atténuation prises par l'organisation et les violations subies antérieurement. Cela signifie que les entreprises qui ont pris des mesures responsables pour se mettre en conformité avec le RGPD devraient voir leurs efforts récompensés et jouer en leur faveur dans la considération des violations potentielles. Le manque de talents va forcer les entreprises à mondialiser leurs équipes En dépit d'une pénurie continue de compétences, il n'y a pas assez de diplômés en STMG qui voient la technologie et la science comme des voies leur offrant un cheminement de carrière. Les critères d'embauche prennent alors toute leur importance pour dénicher les talents qui vous permettront de faire la différence face à la concurrence. Le talent que vous embaucherez verra son périmètre s'élargir et devra être capable de partager ses compétences à travers l'entreprise. Des plateformes intelligentes de collaboration et de communication seront essentielles pour permettre aux personnes talentueuses de travailler à l'échelle mondiale. L'étude menée pour Interoute en 2017 a révélé que 39% des décideurs informatiques cherchent également à mondialiser leur infrastructure afin que l'entreprise puisse utiliser des compétences situées en dehors de leur territoire géographique dans le cadre de leurs plans de transformation numérique. Comme vos fournisseurs seront confrontés au même défi que vous en matière de recrutement de compétences, il se pourrait que les solutions proposant intrinsèquement l'automatisation et la pré-intégration soient la bonne option d'achat pour vous en 2018.
DATE-CHARGEMENT: 3 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
182 of 500 DOCUMENTS
La Nouvelle Tribune
29 Décembre 2017
Cybersécurité: ce qui va faire peur en 2018
AUTEUR: LNTech
LONGUEUR: 811 mots
Après les spectaculaires attaques des virus Wannacry et NotPetya, qui ont paralysé des entreprises entières au printemps, les pirates informatiques devraient poursuivre sur leur lancée en 2018, préviennent des spécialistes de la cybersécurité.
Les « ransomwares » (ou « rançongiciels » en français) sont la menace qui a le plus fait parler d'elle cette année. Il s'agit de « malwares », des logiciels malveillants qui cryptent les données des ordinateurs attaqués: les propriétaires ne peuvent espérer les recouvrer que contre paiement d'une rançon.
« Le modèle économique de ces attaques est efficace. Les cybercriminels vont sans doute désormais chercher à cibler préférentiellement certaines entreprises, pour obtenir des rançons certes moins nombreuses, mais plus élevées », estime Päivi Tynninen, chercheuse chez le finlandais F-Secure.
Des entreprises font d'ailleurs provision de bitcoins pour payer des rançons, au cas où, selon Paul Taylor, spécialiste de la cybersécurité chez KPMG.
Les objets connectés sont un autre sujet de préoccupation majeur, alors que les machines dites « intelligentes » communiquent de plus en plus entre elles.
Le « mélange des genres entre sphère privée et professionnelle n'est pas sans poser quelques défis aux équipes de sécurité » informatique, souligne l'éditeur d'antivirus américain Fortinet.
L'éditeur japonais Trend Micro prévoit lui aussi « une augmentation des failles liées aux objets connectés, de plus en plus d'appareils étant conçus sans respecter les réglementations de sécurité ni les normes industrielles ».
« Ainsi, la connectivité accrue et l'augmentation de la surface d'attaque permettent aux cybercriminels de mieux exploiter les failles connues dans le but d'infiltrer les réseaux d'entreprise », prévient-il.
Le télétravail, notamment, pose problème, les terminaux nomades étant autant de points d'accès potentiels pour les cyberpirates.
« Si l'on travaille à distance et sur un réseau public non protégé, c'est toute l'organisation que l'on met en danger à la fois pour ses propres données, mais également en rendant son périphérique susceptible d'être la cible d'un piratage involontaire pour faire partie d'un réseau de robots », relève le spécialiste américain des réseaux Ixia. Ces robots (« botnets »), aussi appelés zombies, seront les discrets petits soldats d'une armée prête à faire des mauvais coups sur le net.
- Technologies émergentes -
Dans la même sphère de la connectivité, les spécialistes consultés par l'AFP appellent à la plus grande vigilance face au développement du « cloud » (l'informatique en nuage).
Les entreprises utilisent en effet des logiciels et stockent leurs données sur des serveurs distants qui ne leur appartiennent pas. Uber par exemple avait été victime du piratage des données de 57 millions d'utilisateurs stockées sur un tel serveur.
Et la révélation en octobre d'une vulnérabilité du protocole servant à protéger les échanges wifi pourrait donner des idées aux cybercriminels, avance Airbus CyberSecurity.
« Cette faille leur permet d'intercepter et d'espionner la connexion wifi entre les appareils et le routeur wifi et même, dans certains cas, d'injecter des données malveillantes dans des sites web. Elle pourrait également leur permettre de pirater les informations sensibles contenues sur ces appareils, comme les données relatives aux cartes de crédit, les mots de passe, les messages instantanés et les e-mails », écrit la filiale de l'avionneur européen.
Après Wannacry et NotPetya, qui ont surpris tout le monde cette année, la course à l'originalité devrait également se poursuivre avec une utilisation des dernières nouveautés technologiques.
« Les cybercriminels capitaliseront sur les technologies émergentes, telles que la blockchain et le machine learning (système d'apprentissage de l'intelligence artificielle, ndlr), afin de mieux tromper les solutions de cybersécurité classiques », estime Trend Micro.
En attendant, il vaut mieux être à jour, disent les professionnels (qui ont, il est vrai, intérêt à vendre leurs produits).
« En 2017, de nombreuses cyberattaques de grande ampleur ont exploité des failles connues qui auraient pu être protégées si elles avaient bénéficié de +patchs+ (correctifs ndlr). Une tendance qui devrait se poursuivre l'année prochaine », note ainsi Rik Ferguson, numéro deux de la recherche chez Trend Micro.
L'entrée en vigueur le 25 mai du Règlement général sur la protection des données (RGPD), un texte européen, va toutefois obliger les entreprises à se préparer et à établir des scénarios en cas d'éventuelles attaques informatique.
Enfin, les autorités craignent toujours des cyberattentats qui pourraient atteindre des infrastructures vitales, telles que les hôpitaux, les installations nucléaires ou les chemins de fer.
LNT avec AFP
The post Cybersécurité: ce qui va faire peur en 2018 appeared first on La Nouvelle Tribune.
DATE-CHARGEMENT: 29 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: 824
Copyright 2017 La Nouvelle Tribune
Provided by Syndigate Media Inc.
Tous droits réservés
183 of 500 DOCUMENTS
Le Figaro Online
vendredi 29 décembre 2017 05:58 PM GMT
Cybersécurité : les peurs des entreprises françaises en 2018
AUTEUR: Le figaro.fr; redacweb@lefigaro.fr; AFP agence
RUBRIQUE: CONJONCTURE; Actu-Eco; Conjoncture
LONGUEUR: 825 mots
ENCART: Après une année durant laquelle les attaques des virus Wannacry et NotPetya ont paralysé plusieurs entreprises, les cybercriminels vont vraisemblablement tenter d'exploiter les failles de sécurité des objets connectés.
Après les spectaculaires attaques des virus Wannacryet NotPetya, qui ont paralysé des entreprises entières au printemps, les pirates informatiques devraient poursuivre sur leur lancée en 2018, préviennent des spécialistes de la cybersécurité. Les «ransomwares» (ou «rançongiciels» en français) constituent la menace qui a le plus fait parler d'elle cette année. Il s'agit de «malwares», des logiciels malveillants qui cryptent les données des ordinateurs attaqués: les propriétaires ne peuvent espérer les recouvrer que contre paiement d'une rançon. «Le modèle économique de ces attaques est efficace. Les cybercriminels vont sans doute désormais chercher à cibler préférentiellement certaines entreprises, pour obtenir des rançons certes moins nombreuses, mais plus élevées», estime Päivi Tynninen, chercheuse chez le finlandais F-Secure.
Des bitcoins pour payer les rançons
Des entreprises font d'ailleurs provision de bitcoinspour payer des rançons, au cas où, selon Paul Taylor, spécialiste de la cybersécurité chez KPMG. Les objets connectéssont un autre sujet de préoccupation majeur, alors que les machines dites «intelligentes» communiquent de plus en plus entre elles. Le «mélange des genres entre sphère privée et professionnelle n'est pas sans poser quelques défis aux équipes de sécurité» informatique, souligne l'éditeur d'antivirus américain Fortinet. L'éditeur japonais Trend Micro prévoit lui aussi «une augmentation des failles liées aux objets connectés, de plus en plus d'appareils étant conçus sans respecter les réglementations de sécurité ni les normes industrielles».
» LIRE AUSSI - Ces questions sur les nouvelles technologies qu'on risque de vous poser au réveillon
«Ainsi, la connectivité accrue et l'augmentation de la surface d'attaque permettent aux cybercriminels de mieux exploiter les failles connues dans le but d'infiltrer les réseaux d'entreprise», prévient-il. Le télétravail, notamment, pose problème, les terminaux nomades étant autant de points d'accès potentiels pour les cyberpirates. «Si l'on travaille à distance et sur un réseau public non protégé, c'est toute l'organisation que l'on met en danger à la fois pour ses propres données, mais également en rendant son périphérique susceptible d'être la cible d'un piratage involontaire pour faire partie d'un réseau de robots», relève le spécialiste américain des réseaux Ixia. Ces robots («botnets»), aussi appelés zombies, seront les discrets petits soldats d'une armée prête à faire des mauvais coups sur le net.
Dans la même sphère de la connectivité, les spécialistes consultés par l'AFP appellent à la plus grande vigilance face au développement du «cloud» (l'informatique en nuage). Les entreprises utilisent en effet des logiciels et stockent leurs données sur des serveurs distants qui ne leur appartiennent pas. Uber par exemple avait été victime du piratage des données de 57 millions d'utilisateurs stockées sur un tel serveur. Et la révélation en octobre d'une vulnérabilité du protocole servant à protéger les échanges wifi pourrait donner des idées aux cybercriminels, avance Airbus CyberSecurity. «Cette faille leur permet d'intercepter et d'espionner la connexion wifi entre les appareils et le routeur wifi et même, dans certains cas, d'injecter des données malveillantes dans des sites web. Elle pourrait également leur permettre de pirater les informations sensibles contenues sur ces appareils, comme les données relatives aux cartes de crédit, les mots de passe, les messages instantanés et les e-mails», écrit la filiale de l'avionneur européen.
L'IA au service du piratage?
Après Wannacry et NotPetya, qui ont surpris tout le monde cette année, la course à l'originalité devrait également se poursuivre avec une utilisation des dernières nouveautés technologiques. «Les cybercriminels capitaliseront sur les technologies émergentes, telles que la blockchain et le machine learning (système d'apprentissage de l'intelligence artificielle, ndlr), afin de mieux tromper les solutions de cybersécurité classiques», estime Trend Micro. En attendant, il vaut mieux être à jour, disent les professionnels (qui ont, il est vrai, intérêt à vendre leurs produits).
» LIRE AUSSI - Bercy pirate lui-même les e-mails de ses agents
«En 2017, de nombreuses cyberattaques de grande ampleur ont exploité des failles connues qui auraient pu être protégées si elles avaient bénéficié de patchs (correctifs, ndlr). Une tendance qui devrait se poursuivre l'année prochaine», note ainsi Rik Ferguson, numéro deux de la recherche chez Trend Micro. L'entrée en vigueur le 25 mai du Règlement général sur la protection des données (RGPD), un texte européen, va toutefois obliger les entreprises à se préparer et à établir des scénarios en cas d'éventuelles attaques informatiques. Enfin, les autorités craignent toujours des cyberattentats qui pourraient atteindre des infrastructures vitales, telles que les hôpitaux, les installations nucléaires ou les chemins de fer.
DATE-CHARGEMENT: 29 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
184 of 500 DOCUMENTS
Le Cercle
vendredi 29 décembre 2017
Protection de la supply chain : pourquoi l'humain joue un rôle clé dans la gestion du risque
AUTEUR: Doug Wylie
RUBRIQUE: ARTICLE; Un maillage complexe
LONGUEUR: 1398 mots
ENCART: La relation de confiance existant entre une entreprise, ses partenaires ou ses prestataires est souvent exploitée par les cybercriminels pour accéder au réseau de l'entreprise. Formation et sensibilisation restent aujourd'hui la meilleure parade.
Que vous soyez une start-up du secteur des technologies, un détaillant mondial ou un conseil municipal, la supply chain physique fait partie des éléments essentiels à la mission de votre organisation. C'est également l'un de ceux qui posent l'un des risques potentiels les plus importants : d'après certaines estimations, environ 80 % des violations de données trouvent leur origine dans la supply chain. Loin d'arranger le problème, de nombreux responsables informatiques tentent de gérer ce risque en investissant massivement dans des technologies ronflantes.
En réalité, bien qu'il existe un réel besoin de solutions technologiques efficaces pour prévenir les risques qui entourent la supply chain, l'élément qui mérite toute l'attention des dirigeants est avant tout lié au personnel. Avec l'entrée en vigueur dans quelques mois du règlement général sur la protection des données de l'UE (RGPD), il ne reste que peu de temps aux entreprises pour remédier à cette situation.
Un maillage complexe
Bien que jouant un rôle essentiel dans toutes les entreprises, les chaînes logistiques modernes représentent également une part énorme de risque et de complexité supplémentaires. La supply chain s'est développée au fur et à mesure de l'évolution des processus et des technologies numériques, jusqu'à devenir mondialisée et intégrée aux organisations comme jamais on ne l'aurait cru possible auparavant. Par exemple, de nombreux fournisseurs disposent désormais d'un accès privilégié au réseau des entreprises, sans pour autant se conformer de manière aussi assidue aux meilleures pratiques de cybersécurité que ces organisations partenaires. Ils représentent ainsi une cible privilégiée pour les attaquants.
Parmi les violations de données dont ont été victimes de grandes entreprises, plusieurs d'entre elles résultent de failles de sécurité chez des fournisseurs de services annexes. Pour le détaillant américain Target, ce sont des informations d'identification réseau utilisées par un fournisseur et prestataire de services de chauffage, ventilation et climatisation qui ont été dérobées dans le cadre d'une violation touchant plus de 60 millions de clients. Pour l'Office of Personnel Management (OPM) des États-Unis (l'agence responsable de la fonction publique du gouvernement fédéral), c'est un partenaire spécialisé dans la vérification des antécédents qui a le premier subi une attaque avec le vol de ses informations d'identification réseau, ce qui a conduit au vol de 22 millions de dossiers fédéraux.
Une autre tactique d'attaque de la supply chain de plus en plus répandue consiste à compromettre le logiciel à la source lors de son développement, ou à modifier un produit terminé, de sorte qu'une fois distribué, il puisse servir à infiltrer une organisation cible connue pour utiliser ce logiciel. C'est précisément ce qui s'est produit dans le cas des attaques du tristement célèbre rançongiciel "NotPetya" de juin dernier, lorsque le fournisseur ukrainien d'un logiciel de comptabilité populaire a été victime d'un piratage entraînant un détournement malveillant de son logiciel et de son système dans le but de propager des malwares parmi ses clients, sans que ces derniers ne se doutent de rien.
La même souche de malware a conduit à des interruptions de service liées à des rançongiciels coûtant à l'entreprise TNT détenue par FedEx et au géant danois de la livraison Maersk au moins 300 millions de dollars chacun. Si ceux qui ont été directement affectés par NotPetya ont fait état de dommages s'élevant à ce jour à plus de 1 milliard de dollars, les répercussions sur les autres acteurs de leur chaîne en aval s'avèrent nettement plus difficiles à identifier.
Des attaques de la supply chain interviennent également à bien plus petite échelle. On voit ainsi le niveau d'interdépendance et d'imbrication qu'ont atteint les entreprises et leurs systèmes numériques.
Évaluer le coût
Les violations de données coûtent déjà plus de 3,6 millions de dollars en moyenne à chacune des entreprises mondiales, et ce sans tenir compte des amendes maximales de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (selon le montant le plus élevé) qui devraient voir le jour avec le RGPD en mai 2018. Outre ces coûts financiers notables, les incidents majeurs de sécurité peuvent également entamer la confiance du consommateur et ruiner la réputation d'une entreprise. Dans certains cas, ils peuvent même mettre en péril des vies humaines et les systèmes et équipements critiques sur lesquels nous nous appuyons, autant de choses qui sont bien plus difficiles à réparer ou remplacer.
Ce n'est pas tout : le maillage complexe des interdépendances qui forment les chaînes logistiques modernes peut également amplifier l'impact d'une interruption ou d'une violation, comme ont pu le constater les clients et partenaires de Maersk et TNT en juin. Les entreprises doivent donc entamer les démarches de sécurisation de la supply chain en commençant par cerner la position qu'elles y occupent elles-mêmes, ainsi que celle des multiples "chaînes logistiques au sein des chaînes logistiques" qui peuvent graviter autour d'elles. Si chacune des relations entretenues avec un fournisseur comporte des risques et exige d'être étroitement gérée, les responsables informatiques doivent également accepter de ne pas avoir une prise directe sur certains aspects des partenariats.
Le maillon fort
Malheureusement, il n'existe aucune solution miracle pour réduire les risques associés à la supply chain, bien que certaines normes et certains cadres actuels (comme la norme PCI DSS) peuvent s'avérer utiles dans ce domaine une fois intégrés à une stratégie. Les meilleures pratiques exigent que les responsables informatiques établissent des stratégies de réduction des risques les plus détaillées possible en répondant aux besoins, en éliminant chaque point de défaillance et en mettant au point des plans de réaction aux incidents efficaces dans le pire cas de figure. La collaboration et la coopération sont indispensables, en mettant l'accent sur l'amélioration de la sécurité pour le bien des deux parties plutôt que sur une conformité que l'on ne fait qu'imposer de façon stricte et verticale.
Si des technologies telles que l'authentification multifacteur, la mise en oeuvre d'une surveillance continue, la gestion des correctifs, les révisions de code et bien d'autres contrôles peuvent indéniablement aider, la formation du personnel reste ce qui génère le plus grand retour sur investissement. En faisant en sorte de mieux sensibiliser les employés et ceux des entreprises de ses fournisseurs, l'entreprise peut transformer le point faible de l'organisation en une première ligne de défense solide, en les aidant à identifier les e-mails de phishing, les comportements inhabituels et les faiblesses physiques et numériques qui constituent si souvent le point de départ des cyberattaques d'aujourd'hui. De plus, cela permet également d'instaurer une culture dans laquelle la sécurité, la sûreté et la protection des données représentent une priorité, réduisant ainsi les risques de l'erreur interne qui demeure la cause numéro un des incidents signalés à l'Information Commissioner's Office.
Dans les grandes entreprises comme chez les petits fournisseurs, de nombreux employés peuvent adopter des comportements à haut risque pour la simple et bonne raison qu'ils ne voient pas pourquoi un pirate les prendrait pour cible. D'autres s'estiment hors de danger, car d'un point de vue statistique, les chances que cela tombe sur eux sont faibles ou nulles. Il est temps que cela change. Il faut apprendre aux utilisateurs à être vigilants, à se tenir sur leurs gardes lorsqu'ils travaillent en ligne et à prendre conscience des conséquences de leurs actes. Les entreprises et leurs personnels doivent également réaliser la valeur que représentent les décisions prises en tenant compte des questions de sécurité. Enfin, les attaques de la supply chain peuvent avoir un impact négatif considérable, non seulement sur leur cible ultime, mais également sur l'ensemble des entreprises avec lesquelles celle-ci interagit, en haut comme en bas de la chaîne. C'est la raison pour laquelle il est si important de prendre dès aujourd'hui les décisions qui s'imposent en matière de cybersécurité dans ces environnements, et de se préparer à évoluer à l'avenir à mesure qu'évoluent les risques et les menaces.
DATE-CHARGEMENT: 4 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
185 of 500 DOCUMENTS
Le Cercle
mercredi 27 décembre 2017
Cybersécurité : à quoi s'attendre en 2018 ?
AUTEUR: Isabelle Eilam-Tedgui
RUBRIQUE: ARTICLE; Une surface d'attaque grandissante
LONGUEUR: 1160 mots
ENCART: LE CERCLE/POINT DE VUE - L'année 2017 a été marquée par deux attaques de grande ampleur : Petya et WannaCry, des ransomwares. Un type de virus qui a encore de l'avenir.
Cette année peut sans aucun doute être considérée comme l'année du ransomware : les dégâts causés par les différentes cyberattaques Petya et WannaCry ont attiré l'attention du grand public sur la cybersécurité.
Lire aussi :
>> WannaCry, Petya : comment les chercheurs tentent de trouver la parade
>> La cyberattaque Petya en trois questions
Au troisième trimestre 2017, des ransomwares étaient présents dans 64% des emails malveillants, et nous pouvons nous attendre à ce que ces menaces ne fassent qu'empirer en 2018. Le monde de l'entreprise ne doit pas seulement se préparer aux ransomwares, mais doit s'attendre à des cyberattaques plus importantes, plus fréquentes et donc plus dommageables.
Une surface d'attaque grandissante
Alors que la plupart des entreprises sont en pleine transformation digitale, utilisant notamment le cloud et les réseaux de systèmes industriels (OT), leur surface d'attaque devient plus large, mais aussi plus complexe.
En d'autres termes, les façons dont une entreprise peut être attaquée se sont multipliées. Avec l'apparition de nouvelles menaces, et donc les nouveaux moyens d'y remédier, la surface d'attaque devient fluctuante. Inévitablement, une surface d'attaque plus grande offre aux cyberattaquants plus de points d'entrée.
Même si la transformation digitale comporte bien des avantages, comme la productivité et l'engagement client, elle contient aussi son lot de challenges et de vulnérabilités.
Le timing, notamment, devient critique : il est nécessaire de trouver une approche unifiée permettant de gérer et contrôler la surface d'attaque. Les entreprises doivent implémenter des outils d'analyse automatique, éliminant les données moins importantes et accélérant l'identification des vulnérabilités.
Une évolution constante
Que les hackers suivent un modus operandi similaire à WannaCry ou Petya, une chose est sûre, ces attaques ne sont pas près de disparaître.
La commercialisation du cybercrime facilite la coordination d'attaques plus larges et plus sophistiquées.
L'approche traditionnelle du management des vulnérabilités basée sur le CVSS (Common Vulnerability Scoring System) n'est plus adaptée, puisque cette approche se concentre sur la sévérité hypothétique d'une éventuelle attaque, sans considérer les kits d'exploitation actifs ni l'atténuation des facteurs lorsque les priorités de remédiation de l'entreprise sont identifiées.
En 2018, il faut s'attendre à voir de plus en plus d'entreprises adopter une approche du management des vulnérabilités centrée sur les menaces. Cette approche permet de donner des priorités à des vulnérabilités et une aide à la décision sur le correctif approprié.
Ceci est fait en cartographiant les vulnérabilités aux contrôles en place, aux risques métiers et à l'intelligence sur les attaques et les kits d'exploitations disponibles et utilisés.
L'automatisation des opérations de sécurité
La complexité des réseaux implique la gestion, par les équipes de sécurité informatique, de quantités de données et de menaces plus fréquentes.
Mais l'industrie souffre d'un inquiétant manque de compétences. De nouvelles vulnérabilités étant exploitées chaque jour, il est difficile pour les équipes de management de vulnérabilités de discerner le niveau d'attention qu'il faut donner aux nouvelles menaces.
Ainsi, en 2018, il faut s'attendre à ce que les entreprises se tournent vers l'automatisation des opérations de sécurité. Les analyses peuvent être effectuées automatiquement, de manière compréhensive et contextuelle sur la totalité de la surface d'attaque, soulignant les menaces critiques qui ont besoin d'être traitées immédiatement, de façon à ce que les équipes puissent être aidées et prioriser leurs efforts.
La sécurité dans le Cloud
Les entreprises sont actuellement en phase de transition, travaillant sur des réseaux hybrides dans des environnements physique, virtuel et multicloud. Il est donc complexe de comprendre ces différents environnements et d'en maintenir la sécurité de bout en bout.
Les hackers ne distinguent pas les limites des réseaux, les entreprises doivent donc penser de la même façon : la sécurité doit être approchée de façon holistique et managée de façon centrale. Ce n'est qu'en considérant le réseau dans sa totalité que les entreprises pourront identifier et remédier aux vulnérabilités les plus susceptibles d'être ciblées.
L'importance de l'automatisation devient évidente lorsqu'il s'agit de stratégie dans le Cloud. Le nombre de vulnérabilités, l'élasticité des réseaux dans le Cloud et la quantité d'activités dans le paysage des menaces sont trop importants pour être gérées par des processus manuels.
L'industrie nouvelle cible
Alors que les technologies de l'information et les OT convergent, les enjeux de sécurité doivent être adressés. Les technologies industrielles sont utilisées pour les télécoms, l'énergie, les raffineries de pétrole et de gaz, et en 2018, ces industries se rapprochent de plus en plus des réseaux bureautiques.
En effet, les avantages en termes de productivité, de facilité de management et de rendement sont nombreux. Cependant, ces industries sont exposées à des cybermenaces importantes.
Ces menaces peuvent causer des temps d'arrêt, des dangers de sécurité et des dommages environnementaux. Les attaques telles que Petya et WannaCry n'ont fait que souligner la vulnérabilité des réseaux OT.
En 2018, il est indispensable pour les industriels de se préparer à nouveau à ce type d'attaques sur les réseaux OT et de limiter leur impact tant en termes autant de sécurité physique des travailleurs et des populations que de dommages économiques.
Conformité à la RGPD
La RGPD, qui prendra effet le 25 mai 2018, va avoir une portée bien plus large que l'Union européenne, et cela risque de prendre les entreprises non-européennes par surprise.
Ces dernières auront probablement besoin d'un soutien supplémentaire lorsqu'elles se pencheront sur les implications de la nouvelle réglementation et sur sa mise en pratique. Cette mise en conformité va aussi s'accompagner d'une redéfinition de la stratégie de cybersécurité, dans laquelle le Cloud va avoir un rôle important à jouer. Pour les entreprises cherchant à mieux se protéger et sécuriser leurs données, la transition vers le Cloud peut faire partie des solutions.
Lire aussi :
>> Le RGPD, l'autre règlement européen de protection des données personnelles
>> Huit conseils pour bien se préparer au RGPD
Par exemple, cette transition peut être un moyen de tirer parti des tags de sécurité du Cloud pour déterminer où résident les données et comment elles sont accessibles, conformément aux normes RGPD et aux exigences opérationnelles.
Ainsi, les entreprises doivent pouvoir gérer les vulnérabilités dans les environnements Cloud sur lesquels elles n'ont pas de contrôle direct, mais sur lesquels elles se reposent néanmoins pour assurer leur agilité métier et la qualité du service client.
Isabelle Eilam-Tedgui est directrice des Ventes France & Belux chez Skybox Security
DATE-CHARGEMENT: 4 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
186 of 500 DOCUMENTS
PME Magazine
27. décembre 2017
La grande faille des PME: leur cybersécurité!
AUTEUR: Tiphaine Bühler
RUBRIQUE: ENTREPRISES SÉCURITÉ INFORMATIQUE; Pg. 46 No. 1
LONGUEUR: 2591 mots
ENCART: La sécurité informatique est chronophage, imprévisible mais tellement passionnante! Des experts brisent le tabou en partageant leurs sueurs froides.
Par Tiphaine Bühler
La Suisse semble en cyberalerte. On ne compte plus les rencontres dédiées à la thématique: près de 500 personnes à Yverdon mi-novembre à la conférence Black Alps, soit le triple de l'année d'avant, Cybersecurity Day à l'EPFL en décembre, idem à Porrentruy sur trois jours tandis que Genève se décline en Digital Talks et forum mondial de la gouvernance d'internet. En février, le Valais organise son premier Secure IT à Sierre. PME, multinationales, administrations cantonales et nationales sont abreuvées de "cyber".
"Auparavant, une attaque informatique était le problème de l'IT. Mais aujourd'hui, le management demande des comptes et il a peur", observe Paul Such, CEO d'Hacknowledge et l'un des précurseurs de la sécurité informatique en Suisse romande. Il ne faut toutefois pas dramatiser. "Avec le virus Wannacry, on a voulu me faire dire que c'était la pire attaque de tous les temps, poursuit-il. Or, il a infecté 225 000 utilisateurs, alors que seize ans plus tôt, 400 000 victimes, dont certains médias, ont été impactées par un autre virus. Quasi personne n'en avait pourtant parlé alors."
La grande peur des managers
Aujourd'hui, les chiffres mêlent réalité et stratégie marketing. Un pourcentage intéressera cependant particulièrement les chefs d'entreprise. "Les budgets dévolus à la sécurité informatique dans les sociétés en Suisse augmentent de 15% chaque année, mentionne Paul Such. On empile les briques de sécurité autour des structures existantes et chacune a besoin de son propre expert. Cela ne peut continuer indéfiniment ainsi. D'autant que le potentiel des infrastructures sécuritaires déjà en place dans notre IT est souvent utilisé à moins de 20%." Dans les coulisses de ces cyberevents, quelques montants filtrent.
Chez SPIE, on parle d'une sécurité allant de 10 000 francs à un million pour des structures XXL. Chez Fortinet, c'est un abonnement mensuel commençant à 70 francs, tandis que chez Hacknowledge, on évoque 1000 francs annuels pour du monitoring de PME. Des sommes qui n'apportent que peu d'informations si ce n'est que le secteur frétille. Le cabinet Cybersecurity Ventures parle d'un marché à 120 milliards de dollars en 2017, avec un horizon qui dépasserait les 1000 milliards de dollars cumulés sur les cinq prochaines années. Et la Suisse, elle, ne veut pas rater le coche.
L'expérience de Snapchat
L'entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai prochain en Europe alimente les craintes, avec notamment le risque pour les entités suisses ayant des partenaires ou clients en Europe d'être amendées sévèrement (jusqu'à 4% de leur chiffre d'affaires), en cas de faille dans leur processus de sécurité informatique. En cours de révision, la Loi suisse sur la protection des données (LPD) n'est pas aussi stricte, mais pousse les PME à réagir (lire encadré).
On l'a vu, le monde des PME semble se réveiller d'une longue fête, réalisant que le vol, la perte ou la corruption des données de l'entreprise, les phishings, rançonnages et autres hackings n'arrivent pas qu'aux autres. Qui plus est, la facture des autorités pénales suivra et l'addition pourrait accélérer l'indigestion de "cyber". Bref, dans un climat où beaucoup voient la protection informatique comme un grand bain glacé, mais obligatoire, quelques voix solides - pas celles des sirènes vendeuses - , partagent leurs propres expériences face à cette problématique incontournable.
En tête de liste des francs parleurs, Jad Boutros, le chef sécurité monde de Snapchat, dévoile à quel point il a souffert pour sécuriser Snapchat (178 millions d'utilisateurs par jour) et sa quarantaine d'employés à l'époque. "J'étais seul en 2014 pour ce job, se souvient Jad Boutros. On a toujours l'impression que la sécurité va vite, mais cela prend énormément de temps de construire des processus de sécurité et ce n'est jamais fini. Quoi qu'on fasse, on sera toujours en retard sur la prochaine attaque. C'est tabou, mais c'est la réalité!" Des propos qui sonnent juste aux oreilles des experts très discrets du GovCERT (Swiss Government Computer Emergency Response Team). Ces derniers traquent depuis dix ans le virus Turla qui disparaît pour réapparaître là où ils l'attendent le moins.
Harman Singh, directeur de Defendza, spécialisée dans la détection des menaces, abonde dans ce sens: "Jusqu'à présent, quand il y avait un souci dans une entreprise, on se bornait à dire que c'était réglé et que tout s'était bien passé, mime-t-il plus vrai que nature. En réalité, c'était un casse-tête pendant des nuits. C'est ignorer le travail constant en amont pour ne pas être largué. Il faut toujours suivre les développements, documenter les attaques, rester calme et continuer à fourrer son nez partout." On l'a désormais noté, on ne résout pas un cas en quelques formules codées.
Autre réalité: vous avez pris la résolution de vous mettre à la page en matière de cybersécurité? Alors attendez-vous à avoir des ennuis et cela à chaque nouvelle évolution de l'entreprise. La sécurité commence (et se poursuit) par des désavantages: ça bug et ce n'est pas une priorité des équipes, alors qu'il faut des utilisateurs et de la collaboration à tous les niveaux. "Deux mois après les débuts de la sécurisation de nos systèmes, j'ai eu une très grosse attaque, raconte le responsable de Snapchat. Quatre mois plus tard, un spam a permis le vol de dizaine de milliers de photos d'utilisateurs publiées ensuite sur internet."
Un an après, l'entreprise a commencé par proposer des paiements en ligne. "Parallèlement, les attaques se sont complexifiées et en 2016, on a été victime d'un très profond phishing, témoigne-t-il. En 2017, on a acquis de nouvelles sociétés et on a dû travailler avec des structures qui n'avaient pas de sécurité. Le passage au cloud a aussi été un challenge. On me demande encore tous les jours: "Tu utilises un cloud, alors pourquoi as-tu besoin de sécurité?" Les risques d'erreurs sont tellement importants, partout."
Communiquer ses failles
Les services informatiques doivent sortir de l'ombre, parler avec tous les départements et avec la direction, signaler de possibles impacts, faire circuler l'information pour permettre de suivre la trace des serpents ou autres lombrics virtuels. Les hackers aiment les noms d'animaux, semble-t-il. "N'importe quel détail peut compter, soulignent les experts du GovCERT, Andreas Greulich et Reto Inversini. Il faut communiquer, documenter, garder ses logs. C'est grâce à ces échanges que nous avons pu identifier, par exemple, que les attaques contre Ruag étaient du même type que celle que le gouvernement avait subie deux ans plus tôt. L'autre point, c'est qu'il ne faut rien sous-estimer. Les réseaux de la Confédération ont été pénétrés depuis un bar de pêcheurs de Soleure. Savez-vous où est-ce?"
Bien sûr, les outils de monitoring sont déjà une source d'informations et comptabilisent les attaques. En 2016 par exemple, 1,12 milliard d'internautes dans le monde se sont fait voler des données et un e-mail sur 312 véhicule un lien malveillant. Mauro Vignati, directeur de la Cyber Unit du gouvernement suisse martèle l'importance de faire circuler l'information. "Nous ne sommes pas un service secret, on ne contrôle pas tous les réseaux en Suisse. Nous n'avons pas ce pouvoir.
En cybersécurité, l'aspect préventif est plus difficile à mettre en place. En général, on compte plutôt les victimes, autrement dit les utilisateurs infectés. Ensuite, on regarde le vecteur d'infection, sa complexité et sa persistance. C'est pour cela que l'échange d'informations entre tous les acteurs est crucial. Il permet d'établir des collections d'attaques." Et Paul Such de remettre la compresse: "En Suisse, on n'est pas bon pour partager les infos, alors que ce sont des indices utiles qui permettent d'identifier des comportements d'attaque." C'est la raison d'être principale de Melani, centrale d'enregistrement et d'analyse pour la sûreté de l'information.
Eduquer les employés
Ce service gouvernemental publie chaque semaine les campagnes de phishing et virus en activité. "En Suisse, il y a une augmentation des attaques des logiciels de paiement en ligne utilisés par les entreprises, précise Mathieu Simonin de Melani. Ces supercheries ne sont plus de l'ordre de 10 000 francs, mais plutôt de 100 000 francs; cela en corrompant votre IBAN. Les atteintes durent aussi plus longtemps, comme celle de la fraude au CEO très connue en France et en Suisse romande, mais qui est désormais passée en Suisse alémanique." Celle-ci consiste à usurper l'identité numérique du CEO pour débloquer de grosses sommes d'argent.
Reste que l'humain garde toujours une place de choix, tant dans la vigilance que dans les erreurs. "On peut avoir le meilleur système de protection, si les utilisateurs continuent à ouvrir des e-mails et à cliquer sur des liens non identifiés, on ne peut rien y faire, regrette Marc Barbezat, responsable de l'Unité sécurité (USSI) du canton de Vaud. Il faut éduquer les services. Je passe mon temps à enlever des écrans les post-it avec des mots de passe. On doit trouver une manière de générer des mots de passe multiples, qui ont une logique et qui soient faciles à retenir. Ça peut être une chanson, soyez créatif!"
Gérer l'amateurisme reste une large préoccupation. Si vous travaillez avec des entreprises qui n'ont pas de sécurité informatique, vous risquez d'être infecté, raison pour laquelle il faut être deux fois plus attentif. C'est comme avec la gastro-entérite. "On passe son temps à échanger des données avec des utilisateurs qui n'ont pas tous les mêmes capacités informatiques, rappelle le chef sécurité de Snapchat. Comment savoir si, par accident, un fichier n'a pas été copié ailleurs ou laissé ouvert? Comment savoir qui a fait l'erreur? C'est à toutes ces questions aussi que l'on doit répondre. Théoriquement, il faudrait que 10% de l'effectif de l'entreprise s'occupent de la sécurité IT et cela avec un panachage des compétences, car les attaques peuvent être tellement différentes. Un seul ingénieur en sécurité pour une PME de cinquante personnes, ça ne sert à rien."
Actuellement en Suisse, une entreprise met en moyenne 143 jours à réaliser qu'elle a été infectée. Si une grande partie des PME ont pris la mesure du cyberrisque, peu ont encore franchi le cap de se mettre réellement à jour. "Au Security Operations Center (SOC) de l'Etat de Vaud, on répertorie quotidiennement 30 millions d'événements de tous types, 400 alertes ou tentatives de pénétration des réseaux et six investigations. Il y a trois campagnes de phishing par semaine, détaille Marc Barbezat. Ces chiffres permettent de matérialiser les risques, mais ça n'annule pas le facteur humain."
Enfin, réalité presque inavouable pour qui n'est pas dans l'IT: le patching, autrement dit le rafistolage. Il fait pourtant partie intégrante du métier, tout comme la manipulation de données utilisateurs et l'omniprésence des accès. L'expérience n'est donc pas des plus agréables. "Il faut accepter le compromis. Souvent on ne peut pas éliminer le risque, alors on le cloisonne", relève Harman Singh. Frustrant, non? Ce n'est pas Jad Boutros qui vous dira le contraire. "On a toujours le sentiment de courir derrière. C'est un métier de frustration, conclut-il très honnêtement. Parfois, on ne peut pas résoudre une attaque suffisamment rapidement, alors il faut limiter les dégâts. Le meilleur conseil pour tous est de rester calme et de garder le sourire, car c'est très facile d'être frustré."
"Les budgets pour la sécurité informatique des sociétés augmentent de 15 % par an."
Paul Such CEO, Hacknowledge
"Construire des processus de sécurité prend énormément de temps et ce n'est jamais fini."
Jad Boutros Responsable sécurité, Snapchat
Les entreprises et administrations suivent de près la révision de la Loi sur la protection des données (LPD), dont l'entrée en vigueur est attendue en 2019. A cette date, elles devront faire face à de nouvelles obligations en cas d'attaque de leurs systèmes informatiques qui impacterait les données personnelles de l'entreprise ou de ses partenaires.
L'inquiétude est accélérée par la mise en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai prochain, touchant l'Europe et les entreprises suisses ayant un transfert de biens et services (fournisseurs, clients, soustraitants, succursales) avec celle-ci. Ce qui concerne énormément de PME suisses. L'essentiel de ce qu'il faut savoir avec Sylvain Métille, avocat associé chez HDC.
Qu'est-ce qu'une faille?
Un incident de sécurité qui concerne des données personnelles et porte atteinte à la confidentialité, la disponibilité - même temporaire - ou à l'intégrité des données. A savoir: nom, adresse, date de naissance, numéro d'assurance ou adresse IP Les personnes morales n'entreront pas dans cette catégorie. Exemple: la perte de la liste des noms des membres d'un club de fitness, si celle-ci n'est pas déjà publique, peut être une atteinte si l'adhérent n'a pas autorisé sa publication.
Une atteinte à l'intégrité, c'est quoi?
La donnée est modifiée ou corrompue. Il y a atteinte à la disponibilité si elle a été supprimée par erreur, a disparu pendant une heure ou deux pour les documents extrêmement sensibles comme des dossiers médicaux, ou pendant plus longtemps pour des listes d'e-mails.
Quand annoncer?
Dans les meilleurs délais en Suisse, 72 heures au plus tard en Europe, ceci dès la connaissance de la faille. Il faut être plus rapide si le nombre de personnes impactées est élevé et/ou le risque est grand. Exemple: pour un accès à un code bancaire.
Obligation d'annoncer à qui?
Au préposé fédéral à la protection des données à Berne, par courrier ou sur une plateforme sécurisée confidentielle. Puis à la personne dont les données ont été touchées, si cela est nécessaire à sa protection. Par exemple, un mot de passe égaré doit être annoncé, car souvent l'utilisateur emploie le même pour plusieurs entrées. S'il est trop conséquent "d'annoncer" à tous, une annonce publique via les médias sociaux est valable. Dans le cas de sociétés répondant à la RGPD, l'annonce doit être faite par les sociétés suisses à toutes les autorités des pays européens concernés par la faille. S'il y en a plusieurs, cela déclenchera plusieurs procédures en parallèle.
Qui doit annoncer?
Le responsable du traitement. A l'interne évidemment, toute personne devrait transmettre les informations utiles à la personne responsable ou son supérieur hiérarchique. Pour un sous-traitant, il doit annoncer seulement au responsable du traitement des données.
Annoncer quoi?
Le nom et les coordonnées des personnes touchées, la nature de la violation (effacement, perte, corruption, communication), les conséquences possibles et les mesures prises.
Quelles sanctions?
Dans le projet actuel de révision de la LPD, l'amende maximale est de 250 000 francs dans le cas où vous n'annoncez pas une faille et alors que le préposé vous a ordonné de le faire sous menace d'amende. C'est la grosse différence avec le RGPD qui fixe une amende pouvant aller jusqu'à 2% du chiffre d'affaires (ou maximum dix millions d'euros); la double peine (4%) pouvant être appliquée pour manquement du devoir d'annonce et non-sécurisation des données.
Quid de la négligence?
Avec le projet LPD, celle-ci n'est pénalement pas punissable, même si on a l'obligation d'annonce et l'obligation d'avoir une sécurité des données pour son entreprise. Donc, en cas d'oubli d'annonce, on n'est pas puni, à moins d'une clause légale particulière.
DATE-CHARGEMENT: 27. décembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: En moyenne, une entreprise en Suisse met 143 jours à détecter qu'elle a été infectée.
Vos obligations légales face aux failles de sécurité
TYPE-PUBLICATION: Magazine
CODE-REVUE: PMEMA
Copyright 2017 Axel Springer AG
Tous droits réservés
187 of 500 DOCUMENTS
Les Echos Executives
mardi 26 décembre 2017
Cybersécurité : quand le client mène le jeu
AUTEUR: Gérôme Billois
RUBRIQUE: ARTICLE; Gagner la confiance du client final
LONGUEUR: 606 mots
ENCART: Le responsable de la sécurité ne doit plus se limiter à une approche sécuritaire jusqu'au-boutiste. Il lui faut, au contraire, faciliter l'expérience client.
Tout a commencé à la fin des années 1990. Internet faisait son apparition dans les entreprises. Celles-ci ont engagé leurs premiers investissements en sécurité informatique à ce moment-là. Il fallait se protéger de ce nouveau réseau public en filtrant les flux. Puis les besoins ont évolué. La stratégie qui prévalait dans les années 2000 était de sécuriser les infrastructures du système d'information : PC, serveurs, base de données, applications. L'objectif : s'assurer que l'informatique continuerait de fonctionner, malgré les premiers virus qui se répandaient. Les plus anciens se souviendront avec émotion des ILoveYou, Blaster, ou autre Sasser.
Gagner la confiance du client final
A partir de la fin des années 2000, les filières sécurité se sont rapprochées des métiers de l'entreprise. Le mot d'ordre était alors de sécuriser les données que l'on classifiait afin d'identifier les plus sensibles. Mais aujourd'hui, toutes les entreprises vivent « leur transformation numérique ». Il leur faut désormais proposer aux client finaux de nouveaux services fluides et innovants. Ces clients, devenus de plus en plus volatiles, doivent être séduits régulièrement par de nouvelles solutions. Leur confiance est devenue un actif clef de l'entreprise.
Les évolutions réglementaires ont transformé le statut des données. Historiquement vus comme une propriété de l'entreprise, les textes tels que le règlement européen sur la protection des données à caractère personnel, le fameux RGPD,font désormais des données la propriété des clients. L'entreprise doit non seulement les protéger, mais être capable de les rendre. La portabilité est devenue une exigence standard. Les clients sont de plus en plus attentifs à ces sujets, sensibilisés par les incidents à répétition relayés par les médias ou par les communications sur les évolutions réglementaires, qui leur rappellent leur droit sur ces données. Le responsable de la sécurité ne doit donc plus seulement s'occuper de « son » informatique et de « ses » données. Il doit de plus en plus se tourner vers les clients de son entreprise. Il lui faut évaluer leurs attentes en matière de sécurité et leur proposer des fonctionnalités pour protéger les données confiées, simplement et efficacement. La mise en oeuvre des services liés à la transformation numérique ouvre en profondeur les systèmes d'information, alors qu'ils ont été conçus pour fonctionner en vase clos.
Le RSSI au coeur du dispositif
Ce changement de posture implique de franchir une étape supplémentaire pour le responsable de la sécurité des systèmes d'information (RSSI) : celle de connaître les clients de l'entreprise. Certaines démarches innovantes vont jusqu'à la réalisation de sondages auprès de clients finaux, afin de connaître leurs attentes et d'imaginer de nouveaux services. C'est une évidence dans la banque ou l'assurance. Le RSSI est désormais mobilisé pour participer à la construction des discours et des parcours client, lorsqu'il exerce en B2C. Il ne doit pas se limiter à une approche sécuritaire jusqu'au-boutiste. Sa participation doit au contraire faciliter l'expérience client. Dans le B2B, c'est la sécurité de l'accès aux systèmes de l'entreprise, ainsi que celle des données échangées, qui pourront être mises en avant. Les RSSI d'entreprises offrant des services numériques ont souvent pris de l'avance, confrontés depuis longtemps aux questions des clients dans les processus d'appels d'offres. Ce n'est pas encore le cas dans d'autres secteurs, où les rôles des équipes sont aussi appelés à évoluer.
Gérome Billois est partner cybersécurité chez Wavestone. Sur Twitter : @gbillois.
Contributor:
DATE-CHARGEMENT: 27 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
188 of 500 DOCUMENTS
Economie Matin
24 décembre 2017 04:00 AM GMT
En 2018, le vols des identifiants persiste mais évolue
LONGUEUR: 1100 mots
La récente révélation d'Uber, sur le vol des données personnelles de 57 millions de ses clients, vient s'ajouter à une longue liste de cyberattaques auxquelles les entreprises ont encore fait face cette année. Les techniques des pirates informatiques étant chaque fois plus sophistiquées, 2018 s'annonce tout aussi menaçante pour les organisations qui ne sont pas préparées. Les innovations technologiques, qui permettent aux entreprises d'améliorer et de varier leurs stratégies, offrent les mêmes opportunités aux individus malveillants. 2018 promet ainsi une utilisation accrue de l'automatisation et de l'expansion des environnements hybrides cloud et DevOps. Ces derniers créeront un terrain fertile pour les attaquants, du fait d'un nombre croissant de comptes à privilèges, associés à des utilisateurs humains ou non.
Ces droits d'accès concernent des employés, des fournisseurs distants, des comptes de service, des clés d'accès, des machines, des clés SSH (Secure Shell), ou encore des mots de passe intégrés. Les attaques et exploitations basées sur le vol des identifiants vont s'accélérer pour dominer les cybermenaces en 2018, en particulier pour trois raisons : Les pirates informatiques cachés derrière des identités machine Les identités fédérées, soit le fait de lier tous les droits d'accès d'une personne à un identifiant unique, tendent à augmenter pour simplifier l'expérience utilisateur. Or d'un point de vue sécuritaire, cette simplification accroit les vulnérabilités, les identifiants devenant alors identiques. De plus, l'adoption croissante d'environnements basés sur les services augmente automatiquement le nombre d'identités ; il en découle une surface d'attaques étendue, dans laquelle les pirates informatiques ne ciblent plus en priorité les identifiants de l'administrateur de domaine. Les équipes de sécurité doivent donc être préparées à déterminer quels utilisateurs et quelles machines sont dignes de confiance. En volant les identités des machines, les pirates peuvent en effet faire profil bas sur le réseau, tout en utilisant les droits d'accès associés pour contrôler les procédures et règles de sécurité. Les outils d'intégration et de livraison continues peuvent devenir alors les atouts les plus sensibles du réseau : lorsque leurs identifiants sont exploités par une personne malveillante, cette dernière peut en effet prendre le contrôle de l'intégralité du workflow DevOps, et y intégrer du code ou des configurations nuisibles. Le chaos des clés SSH, source de conséquences inattendues Les clés SSH sont souvent utilisées pour accéder aux ressources cloud, ce qui signifie que le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Seulement, beaucoup d'entreprises ne déploient pas les infrastructures nécessaires pour sécuriser les environnements DevOps. Cette absence de gestion engendre un "chaos de clés", et augmente le risque qu'elles soient exposées et compromises via des erreurs simples ou humaines. Les équipes de sécurité doivent donc améliorer la supervision pour éviter que ces clés ne deviennent des cibles faciles pour les attaquants. Les principales préoccupations associées concernent la multiplication des identifiants de machines et d'humains, qui offrent des opportunités de vols de privilèges. Par exemple, un utilisateur, ayant accès à un rôle assigné à une machine et doté de privilèges, pourrait dérober l'identité de cette machine et nuire au compte cloud associé. De plus, les jetons d'authentification temporaires, employés en complément ou à la place d'un mot de passe pour prouver l'identité de l'utilisateur, se révèlent parfois être une arme à double tranchant. En effet, bien qu'ils constituent une amélioration par rapport aux clés statiques, qu'ils expirent généralement après un certain temps et qu'ils offrent des privilèges dynamiques, ils ne fournissent une meilleure sécurité que s'ils sont gérés correctement et surveillés en continu. Security as a Target (SaaT) : l'authentification dans la ligne de mire des attaquants Le cloud pousse au renforcement de l'identité à mesure que nous utilisons davantage de services, et moins de technologie brute ; cela entraine plus de possibilités pour les hackers d'effectuer des mouvements latéraux entre les services, et une compromission plus facile au niveau de l'authentification, ce qui signifie une perte totale de l'identité pour l'entreprise. Les méthodes actuelles d'authentification, telles que celle à deux facteurs et SSO (Single Sign On, soit une authentification unique), doivent alors s'adapter pour se protéger contre les menaces émergentes et afin de ne pas devenir des cibles. Car si ces outils sont compromis, ils permettent aux attaquants une flexibilité sans précédent, et leur offrent la capacité de compromettre les réseaux en profondeur. D'un point de vue défensif, la technologie blockchain pourrait être adoptée pour supprimer le seul point de confiance et d'échec qui favorise les techniques d'attaques Golden Ticket et SAML. Elle pourrait en effet être utilisée pour déplacer la "confiance absolue" de l'Active Directory, par exemple, vers l'ensemble du réseau. Les pirates seraient alors forcés de compromettre une quantité significative d'actifs avant de pouvoir s'authentifier. Les cyberattaques dont nous avons été témoins en 2017, telles que WannaCry et NotPetya, et celles des années précédentes, sont souvent liées à une adoption trop rapide de technologies qui ne sont pas complètement sécurisées. L'intégration de toute innovation doit en effet s'aligner à des stratégies de gestion des risques. Pour de nombreuses organisations, le défi réside donc dans le fait que les nouvelles technologies n'ont pas le niveau de maturité en matière de sécurité que celles plus anciennes. Les entreprises se retrouvent par conséquent vulnérables aux attaques, en particulier celles qui visent les comptes administrateurs, voie royale des hackers vers leurs systèmes et leurs données. Le risque est donc bien réel, avec pour conséquence des milliards d'identifiants clients disponibles sur le Dark Web. En mai 2018, le Règlement Général de la Protection des Données (RGPD) entrera en vigueur en Europe et obligera les organisations à se conformer à un certain nombre de règles strictes en matière de cybersécurité. Bien que contraignant au premier abord, il permettra aux entreprises de mieux appréhender la gestion de leurs données et la protection de leurs systèmes pour lutter contre les cyberattaques, toujours plus agressives et vouées à se développer au rythme des innovations technologiques.
DATE-CHARGEMENT: 29 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
189 of 500 DOCUMENTS
L'AGEFI Actifs
décembre 22 2017
Les échéances 2018 dans le viseur;
Année du patrimoine
AUTEUR: La rédaction de L'Agefi Actifs
RUBRIQUE: CADRE LÉGAL; Pg.8
LONGUEUR: 1941 words
Cette année non plus, la fabrique normative n'a pas connu de répit. A l'échelon européen d'abord, puisque la mise au point des normes de distribution MIF II pour l'activité financière, de DDA, son corollaire pour la partie assurance, et du règlement Pripp dédié à homogénéiser les documents d'informations adressés aux épargnants est entrée dans son ultime volet préparatoire. La prochaine étape sera constituée par la mise en oeuvre de ce triptyque pour 2018. L'objectif ? Porter à un niveau supérieur l'information délivrée aux prospects et aux épargnants/ investisseurs afin d'améliorer la distribution des produits d'investissement.
RESPONSABILITÉ DES CONSEILLERS PATRIMONIAUX
Les conseillers en première ligne. De leurs côtés, les juridictions ont tourné à plein régime. C'est vrai tant au niveau des autorités indépendantes que sont l'Autorité des marchés financiers (AMF) et de l'Autorité de contrôle et de régulation (ACPR) qui, pour sa part, a haussé le ton en sanctionnant plusieurs cas d'atteinte à la réglementation spécifique à la lutte contre le blanchiment (LCB-FT). C'est le cas également du Conseil d'Etat et de la Cour de cassation, dont un des derniers arrêts de l'année (en date du 23 novembre 2017) a eu de quoi rassurer les compagnies d'assurance et les fabricants de produits structurés en validant l'intégration des obligations structurées dans les contrats d'assurance vie. Ce qui ne sera pas sans incidence pour les conseillers financiers et patrimoniaux, puisque les mises en cause de leur responsabilité sur le terrain du devoir de conseil devraient se généraliser.
Biens divers. De la responsabilité des conseillers financiers, il en a également été question dans les affaires Aristophil, Marble Art Invest et DOM-TOM Défiscalisation. Autant de scandales financiers qui ont contraint l'AMF à encadrer plus rigoureusement l'activité d'intermédiaires en biens divers. Ainsi, depuis le 17 mai 2017, toutes les catégories d'opérateurs en biens divers doivent soumettre leur documentation commerciale et publicitaire au contrôle préalable du régulateur. Ce n'est qu'une fois enregistrés par les services de l'AMF que ces opérateurs peuvent commercialiser leurs produits en toute régularité. Pour l'instant, la liste noire des acteurs non régulés ne cesse de s'allonger et les candidats à la régularisation se font rares.
Prison ferme. Du côté de la société DOM-TOM Défiscalisation, son dirigeant Jacques Sordes et ses complices ont été condamnés le 24 février 2017 à des peines comprises entre six ans et dix-huit mois de prison ferme. En cause, une affaire d'escroquerie aux panneaux solaires aux Antilles placés sous le régime Girardin industriel. Pour assurer la distribution de ses produits, le dirigeant de DTD s'est appuyé sur un réseau de 250 conseillers en investissements financiers. Nombreux sont les investisseurs floués qui ont engagé la responsabilité de leur intermédiaire pour défaut de conseil. Toutefois, les magistrats peinent à définir les contours de leur responsabilité et l'étendue des diligences à accomplir avant la commercialisation de tels produits.
Partage de la data. La formalisation du devoir de conseil sortira-t-elle renforcée de la mise à disposition des données clients à un plus grand nombre d'intermédiaires ? La question mérite d'être posée. En tout cas, il est prévu qu'à partir du 13 janvier 2018, les agrégateurs soient dans la capacité d'utiliser en toute légalité les bases de données clients des établissements bancaires et financiers grâce à la seconde directive sur les moyens de paiement, dite DSP2. Pour sécuriser les échanges d'informations à venir, le texte impose aux banques la création d'API, c'est-à-dire d'interfaces interopérables et sécurisées conçues pour se substituer au web scraping. En contrepartie de cette libéralisation, le Parlement européen a adopté un règlement général des données personnelles (RGPD) renforçant le contrôle des citoyens de l'Union sur leurs informations numériques. D'ici le 25 mai prochain, toutes les entités concernées devront disposer des procédures internes adéquates pour atteindre les standards de sécurité fixés par le texte.
Lutte contre le blanchiment. Force est de constater que la mise en valeur de la donnée continue de représenter un enjeu considérable pour les établissements bancaires et financiers. Par exemple, sous l'impulsion du Groupe d'action financière internationale, les lignes de la lutte contre le blanchiment et contre le financement d'activités terroristes (LCB-FT) ont bougé, avec l'entrée en vigueur de la 4e directive LCB-FT. Point d'orgue de la directive, le renforcement de l'identification des personnes sensibles. Parmi ces acteurs jugés à risques, figurent les personnes politiquement exposées - qui s'étendent à présent aux acteurs nationaux - ainsi que les bénéficiaires effectifs de sociétés dont le recensement est devenu obligatoire. En France, ces bénéficiaires sont répertoriés au sein du registre du commerce et des sociétés. Autre enseignement, ce texte affine la notion de cartographie des risques et impose à chaque assujetti de mettre en place une procédure multicritère propre à son activité, à sa clientèle et aux canaux de distribution qu'il utilise.
FISCALITÉ
Rééquilibrage. En France, d'un point de vue patrimonial, année d'élection présidentielle oblige, l'activité parlementaire a marqué le pas jusqu'à la présentation à la fin du mois de septembre 2017 des premiers projets de lois de finances du gouvernement Philippe. Création d'un impôt sur la fortune immobilière (IFI) en lieu et place de l'impôt sur la fortune (ISF), mise en place d'un prélèvement forfaitaire unique (PFU) et révision de la fiscalité de l'assurance vie ont tenu en haleine les observateurs toute cette fin d'année. Et la prise en compte de ces nouvelles règles ne devrait pas manquer d'occuper les esprits l'année prochaine tant un rééquilibrage de stratégies patrimoniales trop lourdement axées sur la détention immobilière devra être opéré.
Fermeture du STDR. Parmi les événements marquants de cette année 2017, figure la fin annoncée de la cellule de régularisation des avoirs dissimulés à l'étranger (STDR). A partir du 1er janvier 2018, le STDR traitera à guichet fermé les dossiers déposés et n'acceptera plus de nouvelles demandes. Les contribuables qui souhaiteraient encore se régulariser spontanément le pourront, toutefois ils ne bénéficieront d'aucune remise de pénalités. Quant aux poursuites pénales pour fraude fiscale, elles seront laissées à la discrétion de l'administration. L'application de l'échange automatique d'informations ne laisse que peu d'issues aux réfractaires.
Fraude fiscale. En témoigne le traitement judiciaire de l'affaire Arlette Ricci, qui après révélation de la liste Falciani, a été poursuivie pour avoir dissimulé près de 17 millions d'euros et avoir organisé son insolvabilité sur le territoire français. L'héritière de la maison de couture Ricci a été condamnée par la cour d'appel de Paris à trois mois de prison avec sursis et à un million d'euros d'amende, indépendamment des conditions d'obtention de la liste qui l'a conduite devant les tribunaux. Elle a entraîné dans son sillage la condamnation de son avocat, à qui les magistrats ont reproché d'avoir conçu le montage à l'origine de la fraude.
Trusts constitués à l'étranger. Le 12 janvier 2017, le tribunal correctionnel a prononcé la relaxe de tous les prévenus dans l'affaire Wildenstein. La famille et ses conseillers étaient accusés de fraude en raison de trusts constitués à l'étranger. Le parquet financier a fait appel. Si le jugement est confirmé, il permettrait aux successions ouvertes avant la loi du 29 juillet 2011 ayant modifié la fiscalité des trusts de se voir appliquer un traitement identique.
Primes versées après 70 ans. Répondant à une question prioritaire de constitutionnalité portant sur le régime fiscal de l'assurance vie, le Conseil constitutionnel a validé, dans une décision du 3 octobre 2017, la méthode de calcul de l'assiette des droits de mutation établie par l'article 757 B du Code général des impôts. L'article prévoit la taxation aux droits de mutation par décès des primes versées après les 70 ans de l'assuré. Une décision qui rappelle avec acuité la vigilance à avoir en présence de versements sur un contrat d'assurance vie après le soixante-dixième anniversaire de l'assuré.
ORGANISATION CIVILE DU PATRIMOINE
Un divorce sans juge qui heurte les notaires. Le début de l'année 2017 a été marqué par l'entrée en vigueur du divorce par consentement mutuel sans juge, introduit par la loi de modernisation pour la justice du XXIe siècle fin 2016. Le divorce est désormais passé par acte d'avocat, et sa force exécutoire s'obtient par l'enregistrement de l'acte devant notaire. Il s'en est suivi un vaste conflit opposant les institutions des deux professions, les notaires s'estimant lésés puisqu'ils ne peuvent vérifier le contenu de la convention établie par acte d'avocat avant de l'enregistrer, et ainsi ne pourraient pas donner, selon eux, force exécutoire à un acte qu'ils n'ont pu contrôler. Les avocats ont répliqué en menaçant les notaires de demander la force exécutoire pour l'acte d'avocat. Par ailleurs, la réforme a également renforcé le rôle des modes alternatifs de règlement des conflits et permis aux notaires de recourir à la sollicitation personnalisée.
Reconnaissance de la force du mandat de protection future. Le 4 janvier 2017, la Cour de cassation a rappelé la primauté du mandat de protection future (MPF) sur les mesures judiciaires de protection des personnes vulnérables telles que la tutelle. Cette jurisprudence a mis également en lumière la nécessité d'une publicité du mandat de protection future. En effet, la curatelle en l'espèce n'aurait pas été mise en place si le juge avait été informé de l'existence d'un MPF. Le décret devant organiser cette publicité, à savoir un « registre spécial », n'a toujours pas été publié. A noter également qu'un arrêt de la Cour européenne des droits de l'Homme du 23 mars 2017 a illustré le difficile équilibre entre le respect de l'autodétermination des personnes vulnérables et la nécessité de protéger leurs intérêts.
Le régime du quasi-usufruit précisé. Par ailleurs, le régime du quasi-usufruit a encore fait l'objet de précisions par le Conseil d'Etat. Ainsi, un acte de donation-partage peut valablement contenir une clause de quasi-usufruit non assortie d'une caution. Un arrêt du 31 mars 2017 semble également assouplir sa position concernant la détermination du moment où le quasi-usufruit peut être exercé dans le cadre d'une opération de donation avant cession de titres de société. Enfin, un autre arrêt du Conseil d'Etat a amélioré le calcul du prix d'acquisition pour l'impôt sur les plus-values issues de la cession de parts démembrées, une solution qui pourrait être transposable au quasi-usufruit selon certains experts.
Précautions dans l'emploi des holdings étrangères. Une partie des avis du comité de l'abus de droit fiscal (CADF) du début de l'année a appelé à être vigilant dans l'implantation d'une société holding à l'étranger. Dans l'une des affaires, le CADF a estimé que l'interposition de la société luxembourgeoise en cause constitue un montage artificiel visant à soustraire les dividendes servis à la société française, sa filiale, à toute imposition en France. A noter également que le Conseil constitutionnel, dans une décision du 1er mars dernier, a sanctionné l'article 123 bis du Code général des impôts qui vise à taxer les entités offshore sur leurs revenus.
La liste d'évadés fiscaux fournie par Hervé Falciani (ex-HSBC) a servi de fondement à la condamnation d'Arlette Ricci.
DATE-CHARGEMENT: 21 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 L'AGEFI
Tous droits réservés
190 of 500 DOCUMENTS
IT for Business
22 décembre 2017
Comment se mettre rapidement en conformité avec le RGPD ?
RUBRIQUE: JURIDIQUE; Pg. 0018 N° 2223
LONGUEUR: 556 mots
ENCART: LES FAITS Le Règlement européen général sur la Protection des données (RGPD) auquel toutes les entreprises, peu importe leur taille, privées ou publiques, devront se conformer s'appliquera dès le 25 mai 2018. Ce règlement qui pose un nouveau cadre et renforce les droits des personnes objets de traitements de données impose un grand nombre de chantiers, techniques et organisationnels. Tour d'horizon des 5 grandes étapes à mettre en place dans les 5 prochains mois.
NOMMER UN DATA PROTECTION OFFICER (DPO)
Obligatoire pour les organismes privés, dès lors que les entreprises opèrent des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles (religion, condamnations, santé, etc.) et dans le secteur public, à l'exception des juridictions, quelle que soit la nature du traitement. Il sera le coordinateur de la conformité des dispositifs internes au RGPD. Alliant des compétences juridiques et techniques, rattaché directement à la direction générale, il délivrera en toute indépendance des recommandations sur toutes les problématiques liées à la protection des données à caractère personnel. Les entreprises qui ont déjà nommé un Correspondant informatique et libertés pourront faire monter ce dernier en compétences, ou même externaliser cette fonction auprès de prestataires spécialisés (avocat par exemple).
CARTOGRAPHIER LES TRAITEMENTS DE DONNÉES
La deuxième étape consiste à passer en revue l'ensemble des traitements de données personnelles, informatisés ou non, et de les recenser dans un registre qui pourra être demandé à tout moment par la Cnil. Pour dresser cette cartographie, il convient notamment de lister pour chaque traitement : la finalité poursuivie, la nature des données traitées, leur localisation, les flux amont et aval (l'origine et la destination), les acteurs internes et externes qui traitent ces données, le temps de conservation, etc.
ÉTABLIR UN PLAN D'ACTIONS
Sur la base de ce registre, il s'agira d'identifier les actions à mener pour se conformer aux obligations actuelles et à venir, actions à privilégier au regard des risques que font peser les traitements sur les droits et les libertés des personnes concernées. Une fois les traitements à risque identifiés, il s'agira de les soumettre à une étude d'impact sur la vie privée (« Privacy Impact Assessment ») afin d'identifier les risques probables d'atteinte aux droits des personnes, leur gravité, et les mesures adoptées ou devant être adoptées pour sécuriser le traitement ou corriger les défauts constatés.
POSER LE CADRE DE GOUVERNANCE INTERNE
Pour inscrire ce plan d'actions dans la durée, il conviendra de mettre en place des procédures internes visant à garantir l'intégrité de la donnée tout au long de sa vie, de la collecte à sa suppression (par exemple, organiser la gestion des failles de sécurité, des demandes de rectification, d'accès ou de modification des données collectées, changement de prestataire, etc.). Organiser les process implique également de prendre en compte la protection des données personnelles dès la conception d'une application ou d'un traitement (« privacy by design »).
DOCUMENTER LA CONFORMITÉ
En application du principe d'« accountability », on passe d'une logique déclarative (suppression des déclarations préalables auprès de la Cnil) à une logique de conformité. Ainsi, en cas de contrôle, l'entreprise devra être à même de démontrer qu'elle a mis en oeuvre l'ensemble des mesures organisationnelles pour respecter le RGPD via la tenue d'une documentation complète, actualisée et exportable facilement. ·
CE QU'IL FAUT RETENIR
En cas de non-respect de cette réglementation, les sanctions sont lourdes, celles-ci pouvant aller jusqu'à 20 millions d'euros ou, pour les entreprises, à 4 % du chiffre d'affaires annuel mondial.
DATE-CHARGEMENT: December 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
191 of 500 DOCUMENTS
IT for Business
22 décembre 2017
Le logiciel zéro bug est possible ;
directeur de recherche à l'Inria
AUTEUR: - presque - parfaits.
RUBRIQUE: XAVIER LEROY; Pg. 0022, 0023, 0024, 0025, 0026, 0027 N° 2223
LONGUEUR: 3241 mots
ENCART: Chercheur à l'Inria, Xavier Leroy a ciblé une bonne partie de ses recherches autour de la qualité des logiciels. Des travaux récompensés par plusieurs prix dont le prestigieux Milner Award en 2016. Il revient avec nous sur les moyens à mettre en oeuvre pour obtenir des logiciels
De plus en plus d'incidents et accidents sont imputés - éventuellement à tort - aux logiciels. Le logiciel zéro bug ne peut-il pas exister ?
Si. Au risque d'en surprendre plus d'un, et a contrario de nombre de mes collègues, je pense que le logiciel sans bug est possible. Plus précisément, il n'existe pas d'impossibilité fondamentale interdisant ce résultat. Bien sûr, l'expérience quotidienne témoigne du contraire. Mais quand le logiciel devient critique, quand des vies humaines sont en jeu, les organisations qui le produisent investissent des moyens considérables pour le fiabiliser. L'aéronautique, le nucléaire, le ferroviaire - malgré la dernière panne à Montparnasse... -, les fabricants de cartes à puce et d'autres travaillent dans cette logique. Et les résultats obtenus sont probants. Chez Airbus, les bugs liés aux logiciels d'avionique, chargés des commandes de vol, sont quasiment inconnus.
Pourtant, quelques incidents ou accidents ont toujours lieu...
C'est vrai, mais généralement ce ne sont pas de simples bugs informatiques. Continuons l'exemple des commandes électroniques de vol. Le remplacement de la mécanique par du logiciel sur les commandes de vol, entre le palonnier et les ailerons par exemple, remonte aux années 80. C'est ce qui a été mis en place sur l'A320. Dans son cahier des charges initial, l'avionneur avait placé la barre haut : une erreur sur 10 millions d'heures de vol, bien au-delà des taux habituels dans l'informatique. Après environ 50 millions d'heures de vol, aucun incident causé par ce logiciel n'a été constaté. Par contre, d'autres accidents sont survenus qui ne sont pas dus à des bugs mais, entre autres, à des questions de modélisation. En d'autres termes, le logiciel a fait exactement ce qui lui était demandé. L'accident est survenu suite à des événements non prévus, et donc non pris en charge par le logiciel.
Pouvez-vous nous détailler un exemple ?
Le 14 septembre 1993, un Airbus de la Lufthansa s'est posé dans des conditions météo déplorables à Varsovie. Il a atterri en crabe et, piste inondée oblige, est parti en aquaplaning. Ce qui rendait caduque la possibilité d'utiliser le freinage classique. Dans ce cas, la procédure prévoit d'inverser la poussée des réacteurs pour freiner. Or le logiciel n'a pas pris en compte l'ordre de rétro-poussée donné par les pilotes. L'avion est donc sorti de piste et a heurté un pylône. Un des passagers et un des pilotes sont morts. L'enquête a démontré que le logiciel avait fait exactement ce pourquoi il était programmé. À savoir, la rétro-pous-sée n'était possible que si un minimum de 12 tonnes portait sur chacun des trois trains d'atterrissage, ce, pour empêcher cette action en vol car elle aurait alors des conséquences désastreuses. Dans le cas de cet atterrissage, l'un des trois trains était délesté et ne respectait pas ce critère des 12 tonnes. Le problème était lié à une modélisation qui n'avait pas prévu tous les cas de figures. Depuis cet accident, les critères appliqués par le logiciel ont été revus pour couvrir tous les atterrissages, même les plus délicats.
Quelles méthodes Airbus, et plus largement les autres industriels, utilisent-ils pour atteindre le zéro bug ?
XAVIER LEROY
· 2016 Prix Milner de la Royal Society
· DEPUIS 2000 Directeur de recherche, Inria
· 1999-2004 Ingénieur R&D, Trusted Logic
· 1994-1999 Chargé de recherche, Inria
· 1993-1994 Post-doctorat, Stanford University
· 1989-1992 Doctorat en informatique, Université Paris-Diderot
· 1987-1991 Élève de l'École Normale Supérieure (Paris)
Il s'agit de combiner les meilleures pratiques de modélisation et de programmation avec une validation extrêmement poussée du logiciel. Par exemple, il est plus sûr de ne pas utiliser tout langage de programmation pour tout type d'usage. Ainsi, Le C n'est pas très sûr, et il vaut mieux mettre en oeuvre des langages spécialisés, par exemple Scade et Simulink, pour les applications de contrôle commande (capteurs et actionneurs). S'ils ne disposent que d'une expressivité restreinte - certains de ces langages ne permettent même pas de faire des boucles -, ils demeurent a contrario plus faciles à contrôler, à suivre sur la consommation de la mémoire et, au final, leur utilisation limite la possibilité de bugs. Deuxième étape, le développement doit être systématiquement validé par des tests extrêmement rigoureux. Souvent, la préparation et l'administration des tests est ce qui prend le plus de temps et coûte le plus cher dans un développement de logiciel critique. Mais, comme l'a très bien résumé Edsger Dijkstra, un des fondateurs de la science informatique, tester un logiciel peut identifier la présence de bugs, mais pas garantir leur absence ! D'où l'apparition d'une troisième grande étape, l'utilisation des méthodes formelles pour améliorer encore la qualité.
Pourquoi et comment utiliser ces méthodes formelles ? Pouvez-vous décrire leur fonctionnement ?
Les méthodes formelles reposent sur une approche mathématique qui ne remplace pas, mais complète l'approche empirique du test. Très schématiquement, il s'agit de transcrire le code en équations et de démontrer mathématiquement des propriétés de ces équations. Ces méthodes ont émergé dans le milieu universitaire dans les années 1965-1975. Mais il a fallu attendre les années 2000 et l'apparition d'outils qui automatisent ces méthodes formelles pour qu'elles commencent à être utilisées dans l'industrie. À la main, avec un crayon et du papier, on peut appliquer ces méthodes à quelques dizaines de lignes de code. On est loin des 100 000 lignes des commandes de vol de l'A320 et du million de lignes de celles de l'A380 ! En revanche, un analyseur statique, un outil logiciel mettant en oeuvre des méthodes formelles, peut analyser ce million de lignes en quelques dizaines d'heures. Un tel outil assure que le code ne présente pas de bugs de type débordement de tableau ou de pile. D'autres outils donnent des garanties sur les temps d'exécution indispensables pour les systèmes destinés au temps réel. Par exemple, un autre outil, l'assistant de preuves Coq, permet de construire des preuves avec le concours de l'utilisateur, puis de tester automatiquement le logiciel pour vérifier que toutes les déductions logiques formulées par le code sont valides.
« Utiliser des méthodes formelles améliore encore la qualité des logiciels »
« Les développeurs travaillent mieux lorsqu'ils reçoivent des retours très rapides sur la qualité de leur code. L'externalisation des tests ne me paraît pas être l'option la plus sûre »
D'autres facteurs sont néanmoins à prendre en compte. L'étape de compilation pose apparemment certains problèmes.
Tout à fait. Pour rappel, un compilateur a pour fonction de traduire en code machine un langage de haut niveau. Une fonction de traduction à laquelle se sont ajoutées, au fil du temps, des fonctions d'optimi-sation pour améliorer les performances. Des tâches complexes, qui génèrent parfois des erreurs indépendamment du code source. Problème numéro un, ces bugs introduits par le compilateur restent par nature inconnus du développeur comme du concepteur. Problème numéro deux, ils sont très difficiles à identifier. Les industriels cherchent à contrôler ces risques en désactivant les options d'optimisation, par exemple. Une approche pas totalement fiable parce qu'elle reste aveugle sur le code machine généré. Pour contourner ce type de problèmes, mon équipe de recherche et moi-même avons développé Comp-Cert, un compilateur capable d'éradiquer tout risque de mauvaise traduction par le biais d'une vérification formelle du compilateur. L'utilisation de méthodes formelles garantit l'exactitude de cette étape de traduction. Ce faisant, elle augmente la confiance que l'on peut avoir dans les résultats d'une vérification formelle du code source. Cette approche intéresse plusieurs grands noms de l'aéronautique et du nucléaire.
Qu'en est-il des tests d'intégration, des interactions entre les différentes grandes parties d'un logiciel ?
Les tests d'intégration et plus encore les tests de £validation par l'utilisateur final restent essentiels. C'est une chose de vérifier, par le test et les méthodes formelles, que le logiciel est conforme à son cahier des charges technique. Mais il est tout aussi important de valider que le logiciel fait bien ce qu'il est censé faire et que ses « actions » sont bien adaptées à la situation réelle. Comme l'atterrissage raté de Varsovie le montre, tester ou simuler des situations réelles reste essentiel. Cette dernière étape doit se concrétiser par des mises en situations réalistes, et ce le plus tôt possible lors du développement du logiciel. Dans l'aéronautique, passée l'étape de tests proprement dite, la suivante consiste à réaliser un banc d'intégration, sorte de maquette regroupant tous les systèmes hydrauliques, électriques et informatiques de l'avion, et de le faire voler - virtuellement - aux commandes d'un pilote d'essai. Une démarche de simulation très poussée qui reste à développer dans beaucoup d'autres industries.
Sur le plan organisationnel, que pensez-vous de l'externalisation des tests et, plus globalement, sur le rôle du développeur ?
La partie vérification et intégration repose, entre autres, sur une bonne coordination entre les équipes de développement et de test. Personnellement, je ne pense pas que l'externalisation complète des tests soit une bonne option. Au contraire, il est préférable d'associer plus étroitement les développeurs aux phases de test et de vérification formelle. Historiquement, le découpage des fonctions pour produire des programmes tenait notamment à des raisons économiques. Développeur et analyste-développeur étaient deux fonctions différentes il n'y a encore pas si longtemps. À l'époque, les ressources humaines étaient moins chères que le temps machine. C'est l'inverse aujourd'hui. Les développeurs travaillent mieux lorsqu'ils reçoivent des retours très rapides sur la qualité de leur code. L'externalisation ne me paraît pas être l'option la plus sûre. Une proximité entre les développeurs et les testeurs, ainsi qu'un accès direct aux outils d'analyse statique, est plus efficace à mon sens.
« Les tests d'intégration et plus encore les tests de validation par l'utilisateur final restent essentiels »
Qu'en est-il de la maturité des autres secteurs d'activité ?
Il reste encore du pain sur la planche ! Les risques sont souvent encore, malheureusement, bien réels. Un modèle de Toyota a défrayé la chronique avec un accélérateur défaillant. En cause ? Un débordement de pile dans le code source qui corrompait la mémoire : une erreur banale qui aurait pu être facilement détectée par analyse statique lors du développement. Il est vrai que produire un nouveau modèle de véhicule tous les 18 mois semble difficile à rendre compatible avec la réalisation de logiciels de haute qualité. Autre illustration, l'industrie médicale n'a pas complètement intégré la culture du zéro bug. Si les procédures respectent un haut niveau d'exigence sur les effets secondaires des médicaments, les risques découlant de l'usage de logiciels dans les équipements médicaux ne suivent pas les mêmes processus. Le rappel de certains équipements, comme des pacemakers qui présentaient un risque létal pour les patients, en témoigne.
Au-delà des seuls logiciels critiques, que peut apporter cette approche dans les autres applications ?
Toutes les applications gagnent à être améliorées. Même si des vérifications poussées, comme dans le secteur de l'avionique, sont trop coûteuses et non indispensables pour des logiciels non critiques, de bonnes pratiques comme l'utilisation d'outils d'analyse statique sont applicables à de nombreux logiciels. Facteur aggravant pour l'informatique de gestion, pour diverses raisons notamment organisationnelles, les logiciels de cette famille sont souvent hétérogènes, voire « filandreux ». La complexité de ces logiciels reflète surtout la complexité des organisations de nos entreprises et de nos administrations, plus que la difficulté du problème à résoudre. Au-delà des bugs, une démarche de qualité limite les risques en termes de cybersécurité. Un risque qui concerne tous les secteurs d'activité et tous les logiciels. L'utilisation de méthodes formelles permet de détecter non seule-ment des bugs, mais peut aussi identifier des fuites de données possibles.
Comment voyez-vous l'avenir des tests et des méthodes formelles ? L'Intelligence artificielle va-t-elle changer la donne ?
Les techniques d'apprentissage statistique ou les réseaux de neurones, qui jouent un rôle central dans l'IA, posent de gros problèmes de vérification. Les méthodes formelles contemporaines ont beaucoup de mal à raisonner sur les logiciels obtenus par ces techniques, des logiciels qui sont principalement « appris » à partir d'exemples plutôt que vraiment « écrits ». Même les techniques de test et de revue de code plus traditionnelles ne s'appliquent pas facilement. On ne sait pas relire une matrice de coefficients d'un réseau neuronal, pas plus qu'on ne sait mesurer la couverture d'un jeu de tests sur un tel réseau. Or la traçabilité et la lisibilité des tests sont indispensables pour qualifier un logiciel. En dehors de l'IA, la marge de progression, au niveau théorique comme pour les outils et les méthodes, est grande. La chasse au bug continue. · Propos recueillis par Patrick Brébion Pour répondre plus vite aux besoins métiers, bénéficier d'une flexibilité et d'une évolutivité accrues, ne plus avoir à gérer la maintenance et l'obsolescence des infras... les DSI font le choix raisonné du ou des clouds. Le DSI se mue alors en orchestrateur et gestionnaire de services.
« Pourquoi s'embêter avec un datacenter et des infrastructures à maintenir quand vous pouvez vous appuyer sur les solutions et les compétences de professionnels, qui vous apporteront niveaux de services, montée en puissance et meilleure sécurité ? ». Après les premières promesses, la réalité rejoint le discours des fournisseurs. Oui, le cloud est la meilleure solution pour supporter une grande partie des charges et des processus informatiques. Le cloud, ou plutôt les clouds, un(e) DSI digne de ce nom ne met pas tous ses oeufs dans le même panier ! « Nous constatons que les DSI choisissent des clouds différents selon les applications et les problèmes qu'ils doivent résoudre", explique Emmanuelle Olivié-Paul, directrice associée du cabinet d'études MARKESS. » Ils sélectionnent des prestataires différents pour mettre en place un plan de reprise d'activité (PRA), accéder à des environnements de développement, créer et fédérer des écosystèmes applicatifs à base d'APIs... Plus de 87 % mixent les approches et interconnectent des environnements « in the cloud » avec des environnements « on premise ». » Elle ajoute « il manquera dans certains cas des profi ls de gestionnaire de services et des profi ls d'architecte. »
Faire cohabiter des approches cloud différentes est certes complexe mais facilité par les solutions proposées soit par les prestataires de cloud eux-mêmes, soit par des acteurs tiers. Ainsi, Nutanix présente sa solution comme un OS d'entreprise pour le cloud, qui fournit les couches techniques nécessaires pour organiser une approche hybride multi-cloud, multi-hyperviseur. Pour augmenter les performances d'un datacenter virtualisé, Mellanox, pour sa part, décharge les CPU des tâches de transfert de données en les opérant sur les cartes de communication. Rubrik, de son côté, assure la réplication d'applications dans le cloud, proposant ainsi une solution de disaster recovery dans le cloud. Un autre pan important, la sécurité, peut être traitée grâce à une approche cloud, tel le patching virtuel proposé par Trend Micro qui cible la protection des applications pendant une fenêtre de vulnérabilité ouverte.
À l'aune du récent incident qui a affecté OVH, la sécurité est l'enjeu le plus important du cloud, qu'il s'agisse de continuité d'activité ou d'intégrité des données - et l'on pense en particulier au RGPD. Ce que confi rme Eric Singer, RSSI membre du CESIN, « Le CESIN a réalisé une enquête auprès de ses membres. Elle révèle notamment que 50% des RSSI ont mis en place une politique de sécurité spécifi que pour le cloud. » Et dans leur majorité, les DSI font confi ance aux prestataires de cloud. « Ce sera toujours plus sécurisé que ce que l'on pourrait réaliser dans les contextes où nous oeuvrons », explique José Navas, Group Digital and IT Offi cer de Trigo. Guillaume Lepetit, DSI Corporate de TF1 a également tendance à faire confi ance aux professionnels du cloud. Des professionnels qui mettent tout en oeuvre, confi rme Julien Pellegrin, directeur commercial et marketing de Telehouse : « Nous sommes solidaires d'OVH. Nous avons de la redondance partout, mais il n'y a pas de risque 0. » Directeur Opérations et Infrastructures et représentant du CRIP, Frédéric Soulier enjoint en tout cas les DSI et RSSI à bien lire les contrats qui les lient aux prestataires : « Il faut bien comprendre tous les risques, en particulier ceux liés à la dispersion des zones d'accès, à la multiplication des couches technologiques... Le DSI doit vérifi er sa capacité à effectuer des audits et à être notamment en conformité avec le RGPD ». Le RGPD est-il l'opportunité de voir enfi n arriver des clauses strictes et standard qui simplifi eront le cadre juridique du cloud ? « Oui, mais il y a un risque d'augmentation des coûts et que certains workfl ows ne soient plus supportés », estime-t-il.
Le cloud n'est plus une option, c'est l'infrastructure de demain, dès aujourd'hui. « Avec le cloud, nous n'avons plus à concevoir nous-mêmes des architectures complexes, et nous pouvons nous concentrer sur les usages, avec les métiers. Maintenant nous devons apprendre à défi nir les services, à les piloter, à gérer des relations différentes avec les fournisseurs », explique François Lavernos, DSI de Nexans. Une autre mutation des rôles et des compétences est à prévoir : celle qui va accompagner la mise en place d'une démarche DevOps. Comme l'ont souligné Guy de Lussigny, DSI de transition, qui l'a opérée à la Banque de France, et Sami Djelalia, responsable de la sécurité et du risque opérationnel au sein de GTS (Société Générale), elle participe, comme le cloud, à raccourcir la chaîne entre l'expression du besoin et la livraison d'une solution. Encore un moyen pour le DSI de montrer qu'il peut être un vrai partenaire des métiers.
CLOUD HYBRIDE
DSI : comment garder le contrôle d'un SI polymorphe ?
PROCHAINE DATE
13 FEV. 2018 - PARIS
APM ET IPM Performance du S.I.
http://www.itforbusiness lesmatinales.fr/13-fevrier/
"ENTENDU PENDANT LA MATINALE"
1 On s'est mis dans le contexte d'une start-up. La bonne solution était alors d'aller vers le Cloud et de choisir des solutions SaaS »
François Lavernos, Nexans
« L'hybride, ce n'est pas tant la dualité cloud privé / cloud public, mais la coexistence de systèmes legacy et de systèmes digitaux »
Franck Lecaillon, Econocom
3 Il est pertinent d'adopter une solution complémentaire pour renforcer la sécurité d'Office 365 »
Loïc Guézo, Trend Micro
4 En 2018, faut-il choisir une approche de cloud hybride ou ne vaut-il mieux miser sur une informatique « datacenter-less » ? »
Guillaume Lepetit, TF1
5 « Le cloud, qu'il soit public, privé ou hybride, confirme le rôle d'architecte du DSI. Il doit en profiter pour se positionner encore plus comme le partenaire des métiers » José Navas, Trigo
DATE-CHARGEMENT: December 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
192 of 500 DOCUMENTS
IT for Business
22 décembre 2017
Le mode SaaS bouleverse les processus RH de Suez
AUTEUR: François Jeanne
RUBRIQUE: Pg. 0052, 0053 N° 2223
LONGUEUR: 1222 mots
ENCART: Le déploiement de la solution Cornerstone HCM, pour la gestion de la formation et du capital humain, ne transforme pas seulement les habitudes de production informatique. Il impacte aussi les habitudes de travail en facilitant le partage de l'information RH au sein de l'entreprise. Un progrès majeur, rendu possible par la souplesse de configuration de l'outil, qui interroge sur les nouvelles missions de la DRH.
Pour le dire simplement, notre situation antérieurement au déploiement de Cornerstone n'était pas très brillante ». Frédéric Henrion, directeur du développement groupe et sponsor du programme à la DRH de Suez ne fait pas... dans l'eau tiède ! « Nos systèmes étaient anciens, et assez représentatifs d'un certain fonctionnement des DRH. À savoir que les solutions SIRH et GRH étaient gérées par des spécialistes de la paie, avec un regard très process et réglementation, y compris sur la gestion du capital humain ». En sus de cette vision procédurière de la GRH, les solutions en place sont héritées de pratiques informatiques aujourd'hui remises fortement en question par les approches de type SaaS. « Nous avions par exemple installé le module Paie de SAP à partir de 2003. On peut parler de cauchemar à l'époque. Le produit était très riche, mais complexe à installer. À l'arrivée, on obtient surtout une sous-utilisation des fonctionnalités disponibles. En revanche, à l'informatique comme à la DRH, il faut prévoir des expertises en permanence pour assurer la maintenance technique ou fonctionnelle ».
Tout change avec l'émergence de solutions disponibles en mode SaaS. « Nous avons en face de nous des éditeurs qui nous proposent des boîtes de Lego avec des fonctionnalités à assembler. Les pièces sont assez rigides et la flexibilité générale de l'outil s'en ressent. Mais cela oblige l'entreprise à réfléchir différemment à ses besoins », explique Frédéric Henrion. Car là où une approche progicielle lui permet de se reposer sur les capacités de paramétrage de l'outil pour adapter la solution à ses besoins - au risque de développer des scories finalement inutilisées -, l'approche SaaS l'oblige à construire à partir d'un existant. Autre avantage, qui compense quelque peu la rigidité évoquée ci-dessus, l'éditeur se met en quatre pour satisfaire son client. Car il est rémunéré en fonction de l'utilisation que celui-ci fera de sa solution. Si elle n'est pas assez proche des besoins, le risque est réel de voir la souscription au service s'arrêter rapidement. Dans le cas d'un groupe comme Suez (plus de 80 000 salariés) et avec un mode de facturation basé sur le nombre de collaborateurs de l'entreprise (deux euros environ par personne), on comprend l'intérêt de Cornerstone à répondre avec diligence aux attentes de sa prestigieuse référence.
Destiné à terme à 5 000 à 6 000 utilisateurs, un chiffre qui inclut les services de RH et les managers, le projet se déploie donc en un peu moins de deux ans, un délai essentiellement consacré aux développements de passerelles vers les logiciels de paie et le SIRH. La solution Cornerstone HCM les complète désormais sur les aspects gestion des candidatures externes et de la mobilité interne (module Recruiting Suite), gestion de la formation (Learning Suite), gestion des objectifs, des entretiens, des plans de suc-cession et des attributions de primes (Performance Suite), le tout s'appuyant sur Cornerstone HR Suite pour gérer les données RH et avoir une visibilité globale des effectifs.
18 à 24 mois : durée du projet 15 M(EURO) coût de déploiement du projet (conception de la solution, développement de passerelles) 80 000 salariés concernés environ (base de facturation du service Cornerstone)
« Nous avons commencé par tester, en trois mois environ, la solution sur deux entités pilote. La BU Française, avec ses presque 20 000 salariés, a permis de valider la résistance à des flux de données importants, dans un contexte technique et réglementaire exigeant. À l'inverse, nous avons aussi travaillé avec notre division Afrique, qui partait d'une situation informatique plus hétérogène, pour vérifier que l'outil Cornerstone pouvait y servir de socle à une démarche RH complète et outillée », détaille Frédéric Henrion. En Afrique, le groupe compte environ 1 000 salariés. En France, Suez a choisi de structurer sa base de données RH autour d'une quarantaine de données, dont certaines sont directement asservies à des informations présentes dans le système de paie, qui reste le « master » sur ces données. « Les mises à jour se font quotidiennement, explique Frédéric Henrion, et toujours dans le sens de la paie vers Cornerstone. L'inverse n'est pas possible. » En revanche, en Afrique, où l'intégration de la filiale est en cours et non encore achevée sur le plan des procédures RH, il était important que Cornerstone soit assez souple pour accepter une alimentation directe (saisie manuelle) de ces fameuses données. « C'est le seul éditeur, parmi ceux que nous avons évalués, à proposer cette souplesse », affirme Frédéric Henrion. Elle est d'autant plus importante qu'en sus de la situation informatique propre à chaque BU, les processus et les besoins en matière de gestion des ressources humaines diffèrent selon les services et les pays. Or Suez entend bien se servir de sa solution RH pour accélérer l'intégration de ses filiales, « accompagner la marque employeur et la mobilité interne et optimiser la rétention des talents », justifie Frédéric Henrion. Cela passe par l'existence d'un référentiel RH fiable pour améliorer l'exactitude des reportings, et intégrer des données de différentes sources. Des évolutions profondes devraient en découler, sur le plan des pratiques RH. En effet, les données du référentiel vont désormais être partagées par un plus grand nombre d'acteurs, en particulier par le management intermédiaire qui va pouvoir ainsi développer un nouveau regard, plus opérationnel, sur la gestion des talents. « Auparavant, seuls les acteurs de la DRH disposaient de ces données sur le parcours, les attentes, les besoins de formation des collaborateurs, mais aussi sur les opportunités de mobilité interne. Cela les rendaient indispensables dans les processus, mais aussi incontournables en termes de rythme et d'initiative », rappelle Frédéric Henrion. On comprend à demi-mot que cette époque est révolue et que Frédéric Henrion ne le regrette en rien. « Le côté "j'existe parce que je détiens une information que vous n'avez pas", va disparaître et c'est tant mieux », précise-t-il d'ailleurs.
Le pendant de cette rupture est positif : « les acteurs de la DRH vont devoir prendre plus d'initiatives, créer de l'information et ne plus se contenter d'attendre que d'autres la produisent sur le terrain », insiste Frédéric Henrion. Parmi les possibilités, le développement de nouveaux programmes de formation au travers des Mooc, ou la construction de parcours professionnels originaux pour les nouveaux collaborateurs, invités à connaître des expériences dans des start-up (Parcours Graduate), font partie des pistes très prometteuses. · François Jeanne
LA SÉCURITÉ DES DONNÉES SOUS SURVEILLANCE
L es données personnelles d'un système de GRH sont évidemment sensibles et Suez a anticipé le sujet en impliquant très tôt la direction juridique sur le projet Cornerstone. Ce qui lui permet aujourd'hui d'envisager sereinement sa conformité à la nouvelle réglementation RGPD, en vigueur dès mai 2018. Sur le plan technique, la sécurisation des ordinateurs a été rapidement satisfaisante. « Les efforts ont été plus conséquents concernant les accès à leurs comptes personnels de ceux de nos collaborateurs qui n'ont que des smartphones pour se connecter », reconnaît Frédéric Henrion, qui se dit aujourd'hui serein sur ce point également.
DATE-CHARGEMENT: December 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
193 of 500 DOCUMENTS
IT for Business
22 décembre 2017
RGPD Profiter de l'échéance légale pour pérenniser les bonnes pratiques
AUTEUR: Olivier Roberget
RUBRIQUE: Pg. 0054, 0055, 0056, 0057 N° 2223
LONGUEUR: 2425 mots
ENCART: Les projets de mise en conformité avec le règlement général sur la protection des données (RGPD) ne s'arrêteront pas en mai 2018, y compris pour les entreprises qui s'y sont pris très tôt, tant le chantier est énorme. Il déborde largement du cadre juridique et de la renégociation de contrats. Ses impacts sur le système d'information et l'organisation sont considérables.
Dernière ligne droite avant l'entrée en application, le 25 mai prochain, du règlement général sur la protection des données (RGPD). Rares sont les organisations qui peuvent se targuer d'être fin prêtes. Les banques et les assurances, parmi les plus avancées, se sont lancées dès le milieu de l'année dernière, suivies par les grands acteurs du B-to-C puis par ceux du B-to-B et les collectivités territoriales. Pour les autres, c'est le grand rush. Certaines sont encore en phase de cadrage, quand les moins avancées, parmi lesquelles on retrouve la plupart des PME, se demandent encore par quel bout prendre le problème. Bonne nouvelle : il n'est pas trop tard pour engager un projet RGPD.
Après avoir alerté sur les risques financiers encourus (des amendes administratives atteignent 20 millions d'euros et, pour les entreprises, jusqu'à 4 % du chiffre d'affaires mondial), les discours se font désormais plus positifs et rassurants, y compris sur l'échéance prochaine. « Il y a encore six mois, quand nous disions à nos clients qu'ils ne seraient pas conformes en mai 2018, le message avait du mal à passer. Il est aujourd'hui plus répandu et mieux accepté, observe Raphaël Brun, en charge de l'offre de protection des données personnelles au sein du cabinet de conseil Wavestone. Les programmes à mener sont complexes avec des impacts très lourds sur l'organisation et le système d'information. Il faut prioriser ses
« Plus de 17 000 organisations ont désigné un CIL. Demain, on comptera 80 000 DPO... » Éric Boulay, président d'Arismore
NOMMER UN DÉLÉGUÉ AUX DONNÉES PERSONNELLES
En pratique, la Commission nationale de l'informatique et des libertés (Cnil) recommande de commencer par désigner un pilote : le délégué aux données personnelles, aussi appelé DPO. Ce nouveau rôle est bien souvent endossé par le correspondant informatique et libertés (CIL). Parmi les clients qu'accompagne le cabinet PwC, 60 à 70 % des DPO sont d'anciens CIL, les autres ont un passé de Chief Data Officer, de directeur des risques et de la conformité, de responsable de la qualité ou encore de la sécurité des systèmes d'information. Le CIL n'est pas toujours vu comme le candidat idéal en raison d'une approche administrative et juridique déconnectée des attentes opérationnelles. Ce que réfute Pierre-Olivier Gibert, président de l'Association française des correspondants aux données personnelles (AFCDP) : « ce sont les mêmes qualités pour être un bon CIL ou un bon DPO. Il faut être à l'aise avec la réglementation sur les données personnelles et ses impacts avec d'autres règlementations, comprendre ce qu'est un système d'information et être diplomate pour faire passer ses messages au sein d'une organisation. » Quel que soit le profil recherché, on observe un mouvement de recrutement massif de DPO depuis cet été. C'est une bonne chose, pour le cabinet PwC : « il est, en effet, préférable que le DPO soit nommé dès le début du projet pour être associé à la phase de cadrage », argumente Jean-David Benassouli, responsable des activités de Data & Analytics pour l'audit et la gestion des risques.
TÉMOIGNAGE
THOMAS ELM DPO D'ACCORHOTELS
LES PREMIERS PAS D'UN DPO DANS UN GRAND COMPTE
En juin 2017, Thomas Elm était nommé DPO (Data Protection Officer) d'AccorHotels.
S'exprimant dans le cadre d'une table ronde organisée lors de l'événement Microsoft Experiences début octobre, il est revenu sur ses premières actions de sensibilisation. « Mon premier objectif a été de me faire connaître dans toute l'entreprise, aussi bien auprès de la direction que des opérationnels qui manipulent des données au jour le jour, dit-il. Mon conseil est de diffuser des messages simples sans chercher à relativiser le règlement par rapport à ce qui existait déjà.
La prochaine entrée en application du RGPD est une occasion en or de revenir sur des principes qui étaient déjà inscrits dans la directive de 1995 ».
Dans le même temps, il a entrepris de rassurer ses interlocuteurs. « Aucune organisation ne part d'une page blanche, enchaîne-t-il. Il faut capitaliser sur les pratiques et expertises juridiques, informatiques, assurantielles... en mettant tous les cerveaux à contribution. Cela implique de prendre le temps de se poser pour identifier les priorités et déterminer ce qui nécessite d'être raconté, amélioré et systématisé. » Son rôle implique une recherche d'équilibre entre l'exigence de mise en conformité et le souci d'efficacité. « Le règlement est un texte de principes, rappelle-t-il. Il accorde des marges de manoeuvre et permet d'être créatif sur de nombreux points. On ne nous tiendra pas rigueur de nous tromper, à condition que nous soyons en mesure de démontrer qu'une démarche a été initiée. Nos approches vont s'affiner au fur et à mesure que nous amassons de la connaissance sur les traitements des données à caractère personnel ».
LES COMPÉTENCES CLÉS EN 2020
P ublié mi-novembre, Entreprise, les clés d'une application réussie du GDPR comprend un guide d'auto-évaluation de 50 questions, 300 mesures et recommandations, et les outils juridiques à connaître. L'ouvrage, né de la collaboration du Cigref, de l'Afai et de Tech in France, est en téléchargement libre sur le site du Cigref.
UN CADRAGE RESSERRÉ POUR ENTRER VITE EN ACTION
Dresser un état des lieux est un préalable indispensable à l'établissement d'une feuille de route. Les bonnes pratiques recommandent de ne pas s'appesantir sur la phase de cartographie des données. Viser d'emblée l'exhaustivité aurait pour effet de retarder la mise en application des premières actions correctrices. Il est préférable de restreindre son rayon d'action dans un premier temps en se focalisant sur les systèmes centralisés, les entités les plus importantes et les processus les plus sensibles. En procédant ainsi, une PME peut établir un registre des traitements en quelques jours voire quelques semaines et un grand compte en trois ou quatre mois. Spécialiste des entrepôts de données et de l'analytique, l'éditeur Teradata accompagne des grands comptes bancaires dans leur projet RGPD. Il détaille sa méthode qui mise sur l'agilité. « Pour chaque processus métier, nous travaillons par lot priorisé par degré de risque en mettant en place des sprints de quatre à huit semaines pour identifier, cartographier les données, suivre leurs parcours et apporter des réponses », explique David Estanqueiro, consultant spécialisé dans les services financiers. Pour la plupart des prestataires, l'identification des données personnelles se fait lors d'interviews en présentiel en mettant les responsables métiers dans la boucle. L'outillage logiciel, indispensable dans la durée, n'est pas forcément bienvenu dans un premier temps. Il présente deux inconvénients : les entreprises se retrouvent vite submergées par la quantité de données à analyser et elles n'ont pas connaissance des finalités.
TÉMOIGNAGE
MICHAËL NGUYEN DIRECTEUR DU DÉPARTEMENT MANAGEMENT & CONTROL
UN PROJET QUI MOBILISE 60 PERSONNES CHEZ SCOR
L e réassureur fait figure de bon élève. Dès mai 2016, il a commencé à travailler sur la mise en conformité avec le RGPD, un des cinq projets stratégiques du groupe.
« Le cadrage du budget, qui a pris quatre mois, a été bouclé en septembre », se rappelle Michaël Nguyen, directeur du département Management & Control.
La feuille de route,
constituée de dix projets distincts, a été déroulée à partir de la fin de l'année 2016 et tout au long de l'année 2017. « L'équipe projet compte 10 personnes à temps plein et 60 sont impliquées activement, c'est-à-dire qu'elles y consacrent au minimum 30 % de leur temps. » Elle associe des directeurs métiers, juridiques et informatiques, qui sont
amenés à travailler en concertation. La dimension informatique est toutefois prégnante. « La moitié du budget est consacrée au renforcement des moyens de cybersécurité : chiffrement des données au repos et en transfert, contrôles d'accès aux données structurées mais aussi non structurées... », détaille Michaël Nguyen.
DES IMPACTS JURIDIQUES, IT ET ORGANISATIONNELS
« Avant de chercher à outiller, il convient de mettre en place un processus destiné à alimenter le registre des traitements et à l'éprouver. À ce moment-là seulement, on peut établir un cahier des charges pour choisir le bon outil » Raphaël Brun, responsable de l'offre de protection des données personnelles au sein du cabinet de conseil Wavestone
Le volet juridique est, bien entendu, indissociable de tout projet RGPD. La renégociation des contrats est au coeur des chantiers en cours. Là encore, un effort de priorisation est nécessaire pour se focaliser sur l'essentiel : les prestations avec son infogérant principal, ses prestataires big data, etc. Il convient ensuite de profiter des renouvellements des prestations pour ajouter des avenants aux contrats. Un projet RGPD ne se résume toutefois pas à sa dimension juridique. Les principaux enjeux sont d'abord techniques et organisationnels. C'est un projet d'entreprise, qui nécessite de constituer des équipes pluridisciplinaires incluant notamment les métiers et l'informatique. La DSI se retrouve en première ligne pour les traductions opérationnelles. PwC estime que 60 à 70 % de la charge se répercute sur les équipes IT et digitales.
Les domaines d'intervention sur le système d'information sont multiples. Ils concernent le ren-forcement des mesures de sécurité : authentification, gestion des habilitations, chiffrement des flux... . Des points spécifiques du règlement européen sont également à prendre en compte, notamment la délicate mise en oeuvre de la gestion du consentement. Des premières réponses logicielles sont en train d'apparaître en vue d'industrialiser le traitement. « Nous travaillons à la mise en place de portails de gestion du consentement, adaptés à chaque secteur d'activité, que viendront interroger les applications », indique Pierre-Luc Réfalo, responsable de l'offre RGPD chez Capgemini. Autre chantier : la prise en compte de la protection de la vie privée dès la phase de conception (Privacy by Design). Sa mise en application nécessite de nouer des relations étroites entre les métiers, la DSI et le juridique. Le DPO ou un expert du règlement euro-péen doit être associé au plus tôt dans le développement des nouvelles offres. Un bon moyen de se rôder est de s'emparer des derniers projets lancés. L'exercice montre qu'il bouscule l'organisation et certaines habitudes. Il s'avère salutaire pour identifier des points de blocage. Raphaël Brun y voit un autre intérêt : « le meilleur moyen de communiquer clairement est de s'appuyer sur des réalisations concrètes en expliquant à ses clients ou aux publics internes comment un produit a été conçu et de quelle manière il respecte la vie privée ». Les premières réalisations doivent servir à nourrir les programmes de sensibilisation.
UNE MISE EN CONFORMITÉ AVEC 'ANCIENNES EXIGENCES
TÉMOIGNAGE
VIRGINIE LANGLET CORRESPONDANTE INFORMATIQUE ET LIBERTÉS
LE DÉPARTEMENT DES ALPESMARITIMES PRÊT POUR LE RGPD
P remier organisme à avoir obtenu le label Gouvernance informatique et libertés en octobre 2015, le conseil départemental des Alpes-Maritimes accueille sereinement la prochaine entrée en vigueur du RGPD.
« L'essentiel du travail visant à s'assurer que nos procédures respectent les exigences légales, a déjà été mené, déclare Virginie Langlet, correspondante informatique et libertés.
Les derniers ajustements visent à intégrer la notion de coresponsabilité avec nos partenaires, à revoir les clauses contractuelles et à renforcer les informations aux personnes lors des demandes d'accès aux données ».
La responsable précise : « les réponses, qui peuvent mobiliser plusieurs personnes pendant plusieurs jours pour les situations les plus complexes, sont de plus en plus complètes. Elles retracent la chaîne d'envoi et de réception du courrier, rappellent la demande de l'usager et la ré-glementation applicable, précisent les types de données dont nous disposons, la manière dont elles ont été obtenues, leur durée de conservation, leurs destinataires... Nous ajoutons également les copies d'écran de nos applications correspondant à la demande, que nous commentons au besoin, ce qui va au-delà des obligations légales. Disposer de modèles de réponse fournit un cadre sécurisant pour les agents ».
JEAN-PASCAL PERREIN FONDATEUR DE GOUVINFO
L'EXPERT
Les impératifs du RGPD font prendre conscience aux entreprises qu'elles gouvernent très peu ou mal leurs informations. À ce titre, le règlement européen est une formidable opportunité pour accélérer la mise en place d'une gouvernance de l'information, c'est-à-dire de la donnée contextualisée, en regroupant les experts de la sécurité, des données personnelles, des informations engageantes et patrimoniales.
Le DPO devra également se synchroniser avec les architectes d'entreprise et les urbanistes, qui ont actuellement la maîtrise des données et, par effet de bord, des informations. Ce sont eux qui portent le référentiel maître listant l'ensemble des informations de l'entreprise, à partir duquel s'appliquent des règles de gouvernance.
AU SERVICE DE LA TRANSFORMATION NUMÉRIQUE
Le coût de mise en conformité avec le règlement européen se chiffre en millions d'euros pour des grandes entreprises du secteur B-to-B et dépasse même les 100 millions d'euros pour des comptes internationaux qui manipulent de gros volumes de données personnelles et procèdent à de nombreux transferts. C'est typiquement le cas des banques et des assurances. L'importance des sommes en jeu s'explique, pour partie, par un effet de rattrapage. « La moitié des budgets visent à se mettre en conformité vis-à-vis d'exigences qui étaient déjà présentes dans la loi de 1978 et la directive de 1995 », souligne Raphaël Brun. Ces investissements se justifient en les replaçant dans le contexte de transformation numérique et d'évolution vers une économie de la donnée. Consultant RGPD et membre de la plateforme colla-borative PremiumPeers, Hervé Pinsard met ainsi en avant les vertus du règlement européen : « l'objectif de la loi n'est pas seulement coercitif, il vise à améliorer la gouvernance des entreprises et les guider vers une transformation digitale respectueuse des droits des citoyens ». Cela signifie notamment être transparent sur les usages des données personnelles et être en mesure de les protéger efficacement. Un enjeu essentiel, comme le souligne Éric Boulay, président d'Arismore (entité du groupe Accenture) : « les entreprises qui réussiront sont celles qui instaureront une relation de confiance avec leurs clients et prospects ». ·
DATE-CHARGEMENT: December 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
194 of 500 DOCUMENTS
La Tribune.fr
Vendredi 22 Décembre 2017 6:20 PM CET
"Un SOC efficace ne peut pas uniquement s appuyer sur un SIEM"
AUTEUR: Sergio Loureiro - PDG SecludIT
RUBRIQUE: INNOVATION
LONGUEUR: 1102 mots
ENCART: 89% des RSSI considèrent que leur service de cybersécurité ne répond pas à l ensemble des besoins de leur organisation selon l enquête annuelle Global Information Security Survey menée par EY. Pourtant près de 48% des entreprises déclarent bénéficier d un SOC (Security Operation Center).
Un SOC a vocation à être le point central de la sécurité d'une entité. Il doit permettre l'amélioration et le contrôle de la sécurité à tous les niveaux temporels d'un incident : Prévention/Protection, Détection/Réaction et Investigation/Résilience/Renseignement. Le besoin des entreprises est d'avoir une vision exhaustive globale, opérationnelle et permanente de leurs sécurités, ainsi qu'une information rapide sur les incidents qu'elles rencontrent.
Le renforcement des obligations en matière de suivi de prévention et de suivi des incidents (RGPD, LPM) impose aussi de mettre en conformité et de suivre la conformité des systèmes d'information en termes de sécurité.
Pour répondre à ces différents points, les équipes opérant dans le SOC doivent pouvoir s'appuyer sur des sources d'informations multiples afin de couvrir l'ensemble des phases.
Lacunes d'un SIEM pour couvrir ce périmètre
Dans un système informatique, les logs permettent de savoir ce qui vient de se passer ou s'est passé il y a un certain temps. Le rôle d'un SIEM (Security Information Management System) est d'exploiter les logs.
Sur le plan temporel, le SIEM va donc pouvoir avoir un impact sur les phases de Détection/Réaction et d'Investigation. Mais, sans source d'information complémentaire, il sera peu utile sur la phase de Prévention/Protection.
Un SIEM n'est qu'un outil d'analyse de logs. Sa capacité est limitée aux informations fournies dans les logs. De fait, il ne sera pas en mesure de détecter des incidents ne laissant pas de traces sur les équipements dont les logs sont collectés. Cela le rend relativement inutile pour détecter un problème sur un système d'exploitation ou pour diagnostiquer l'impact d'un incident sur un système (telles une intrusion, l'installation de rootkit, l'altération du système ou des applications, ...). Bien qu'étant la pierre angulaire d'un SOC, le SIEM a besoin de solutions complémentaires pour avoir une vision d'ensemble des faiblesses d'un SI et des événements s'y produisant.
Les principaux outils sont les solutions de contrôles de conformité en continue, de vulnérabilités et d'intégrité. Ces solutions permettent de fournir des informations sur les brèches utilisables par un attaquant, et suivent et tracent en profondeur les variations des systèmes ou les signes d'actions potentiellement illicites.
Apport des solutions de contrôles continus de vulnérabilités et de conformité
Selon Forrester, les vulnérabilités sont la première porte d'accès pour 53% des cyber-attaques. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) préconise l'ajout d'un scanner de vulnérabilité en continu comme bonne pratique de réduction de risques. Ce type de solution permet une meilleure détection et une amélioration de la réaction face aux menaces. Par ailleurs, maintenir ses systèmes en conformité permet d'en réduire le périmètre et donc les vulnérabilités. Vérifier toute évolution de ces états facilite la réaction à un dysfonctionnement ou à l'exploitation d'une brèche.
Le SIEM permet de détecter l'exploitation ou les tentatives d'exploitation de potentielles vulnérabilités d'un système d'information. Les tests de vulnérabilité et les mises en conformité visent à identifier de manière proactive les faiblesses de l'infrastructure et faciliter leur correction. Ils permettent aussi de vérifier quand une tentative d'attaque est détectée, si celle-ci peut, ou non, réussir.
Un SIEM fournit un nombre conséquent d'alertes tout au long de la journée. Les équipes sécurité doivent gérer cette masse d'informations importante et trier les véritables incidents de sécurité parmi de nombreux faux positifs. Un travail en amont, très chronophage, est aussi nécessaire pour configurer le SIEM selon ses besoins afin de trier les doublons et réduire les alertes.
Le fait de connaitre le niveau de risque des différentes cibles et leurs vulnérabilités permet de trier et prioriser efficacement les alertes remontées par le SIEM. Par exemple, s'il s'agit d'une anomalie sur un serveur sans vulnérabilité connue et non critique, la priorité est réduite et les équipes sécurité peuvent se concentrer sur des tâches plus importantes.
Comment construire un SOC efficace, pragmatique et le plus complet possible
Les standards de la sécurité comme l'ANSSI et le CIS (Center for Internet Security), entre autres, plébiscitent le recours à un SOC dans le cadre d'une politique de sécurité renforcée. Par ailleurs, certaines réglementations récentes l'imposent (LPM) ou le recommandent fortement (RGPD avec l'obligation du suivi de la sécurité).
La majorité des offres SOC s'avèrent être incomplètes pour répondre aux besoins. Elles se limitent à un SIEM et ne couvrent donc qu'une partie des attentes. C'est pour cela qu'il est nécessaire d'assembler des solutions complémentaires pour gérer le suivi de la sécurité de son infrastructure de "A à Z".
Le SIEM est la pierre angulaire du SOC mais il faut le coupler pour l'enrichir à des solutions de détection des vulnérabilités et de surveillance de l'intégrité en continu. C'est dans cette optique que les sociétés Oveliane (éditeur de solutions de contrôle continu de la conformité et de l'intégrité) et SecludIT se sont rapprochées. "La complémentarité de nos solutions semble évidente pour couvrir l'ensemble du besoin et permet à nos clients d'avoir une vision complète de la sécurité avec leur SOC" ajoute Laurent Noë, PDG d'Oveliane.
Un des principaux avantages de ce couplage est que la solution ainsi formée peut empêcher le SIEM, qui traite une masse de données importante, de déclencher des alarmes trop fréquemment voire de faux positifs, le plus souvent lorsqu'il est déjà trop tard.
L'utilisation conjointe de ces 2 solutions dans un SOC permet aux entreprises de centraliser les logs dans le SIEM puis de construire les indicateurs de risque qui vont être les plus pertinents pour chacune d'elles. Elles pourront être alertées en temps réel de tout nouveau problème de sécurité ainsi que des vulnérabilités présentent sur leurs infrastructures
Sans logs pertinents, un SIEM est aveugle et le SOC inopérant. Apporter l'information sur l'état des vulnérabilités, sur le respect de la conformité et sur les changements est nécessaire pour que le SIEM donne une réelle vision de la sécurité et de l'ensemble des incidents se produisant dans un système d'information. Ce sont donc les éléments nécessaires pour qu'un SOC soit réellement utile, opérationnel et rende les services pour lesquels il est censé exister.
________________________________ SecludIT, basée à Sophia-Antipolis, est un éditeur de solutions de détection des failles en continu.
DATE-CHARGEMENT: 22 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
195 of 500 DOCUMENTS
La Tribune Hebdomadaire
22 décembre 2017
SKEEP, L'APPLI QUI VOUS REDONNERA LE CONTRÔLE SUR VOS DONNÉES
AUTEUR: Florine Galéron; PRISCILLE LACOMBE
RUBRIQUE: À LA UNE; Pg. 17
LONGUEUR: 826 mots
ENCART: TOULOUSE - OCCITANIE
Elles y seront aussi...
Nouvelle star de la French Tech toulousaine, Skeep, lancée il y a moins de quatre mois, revendique déjà 100 000 utilisateurs.
" Nous travaillons pour te montrer ce que les entreprises ont sur toi. Encore un peu de patience et tu pourras reprendre le contrôle de tes données ", annonce d'emblée l'application. Lancée à la mi-septembre par deux Toulousains, Skeep se définit comme " un ange gardien des données personnelles ". Après avoir téléchargé l'appli, l'utilisateur peut traiter ses e-mails ou son compte Facebook. La partie courrier recense l'ensemble des newsletters d'une boîte, évalue leur taux d'ouverture et envoie si besoin une demande de désabonnement. Sur Facebook, l'application liste l'ensemble des annonceurs publicitaires qui ont accès aux données de l'utilisateur. " Les gens ne se rendent pas toujours compte de l'ampleur du phénomène. Via la fonctionnalité Facebook Connect, certaines entreprises peuvent avoir accès à votre liste d'amis, publier un post ou envoyer des messages privés en votre nom ", alerte Mickaël Épin, le cofondateur de Skeep. Un simple clic sur une publicité ou un like sur un post sponsorisé permet au réseau social d'établir une liste des centres d'intérêt de l'utilisateur et d'en alerter les annonceurs. " En faisant le test, j'avais plus de 200 centres d'intérêt recensés par Facebook. Parfois, ça fait peur. Certaines villes où j'avais voyagé récemment en faisaient partie, via la géolocalisation ", poursuit l'entrepreneur toulousain. Il relève également que les groupes de presse s'allient pour faire circuler les données numériques sur leurs lecteurs, à l'image de l'alliance Gravity (qui regroupe notamment Les Échos, Le Parisien, La Dépêche du Midi, mais aussi la Fnac).
À LA RECHERCHE D'UN MODÈLE ÉCONOMIQUE
L'application permet de restreindre les droits d'accès de ces sociétés via Facebook Connect et de limiter les publicités ciblées. Deux mois après son lancement, Skeep a déjà conquis plus de 100000 utilisateurs. Un succès qui peut s'expliquer par son originalité. " Plusieurs startups s'étaient déjà lancées dans la gestion des spams, mais aucune appli n'existait pour contrôler les données sur les réseaux sociaux ", note Mickaël Épin. La jeune société travaille sur de nouvelles fonctionnalités sur Facebook pour s'assurer, par exemple, qu'une photo supprimée du mur ne soit pas stockée par le réseau social. Skeep aimerait par ailleurs être disponible pour Instagram ou Twitter.
La startup collabore avec la Cnil (Commission nationale de l'informatique et des libertés) pour qu'il soit possible depuis un smartphone de saisir cette autorité en cas d'atteinte à la vie privée sur Internet. Totalement gratuite et sans publicité, Skeep n'utilise pas non plus les données personnelles des utilisateurs. " C'est vraiment disruptif ", note Mickaël Épin. Toujours à la recherche d'un modèle économique, la startup aimerait fournir du conseil aux entreprises pour gérer ces droits d'accès aux données. D'autant qu'avec l'entrée en vigueur en mai prochain du RGPD (règlement général sur la protection des données), toutes les entreprises européennes devront nommer un délégué chargé de cette mission. En attendant, Skeep compte bien profiter du CES pour faire un pied de nez aux plus gros collecteurs de données personnelles, les fameux Gafa (Google, Apple, Facebook, Amazon). Mickaël Épin lance : " On leur montrera qu'on n'a pas peur d'eux. "
D'autres Toulousains pourraient faire le buzz au CES. À commencer par Bubbleflat, qui promet le meilleur de la colocation par affinités. À la façon d'un site de rencontres, Bubbleflat demande à ses utilisateurs leurs centres d'intérêt, leur mode de vie, l'école qu'ils fréquentent, afin de pouvoir leur trouver le colocataire idéal.
Grâce à son " algorithme de match ", le site toulousain sélectionne par affinités le colocataire qui correspond le mieux aux attentes de l'utilisateur. Une fois la perle rare identifiée, les colocataires peuvent ensemble chercher et trouver dans toutes les grandes villes de France un logement en fonction des attentes des différents membres de la colocation. Une application est en cours de réalisation. De son côté, IMInnov développe la technologie EquiSure, un système d'alerte connecté pour assurer la sécurité du cavalier et de son cheval lors de balades en pleine nature. Il se présente sous la forme de deux boîtiers reliés par Bluetooth, l'un fixé sur le casque du cavalier, l'autre sur le harnais du cheval. Les deux boîtiers sont géolocalisés et permettent aux secours d'intervenir rapidement en cas de chute. Si un tel scénario se produit, un SMS d'alerte est envoyé aux numéros de téléphone enregistrés dans les boîtiers. EquiSure est le seul système qui mesure l'intensité de la chute du cavalier. En cas de fausse alerte ou de chute sans grande gravité, l'utilisateur peut désactiver le SOS émis par EquiSure. S'il n'en est pas capable, alors l'alerte sera jugée sérieuse et les secours contactés automatiquement.
DATE-CHARGEMENT: December 21, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: iStock
TYPE-PUBLICATION: Magazine
Copyright 2017 La Tribune
Tous droits réservés
196 of 500 DOCUMENTS
La Tribune - Objectif news - (Midi Pyrénées)
Vendredi 22 Décembre 2017
À Toulouse, les startups alertent Mounir Mahjoubi des "lourdeurs administratives"
AUTEUR: Florine Galéron
RUBRIQUE: INNOVATION; FINANCEMENT
LONGUEUR: 570 mots
ENCART: Le tour des startups faisait étape ce vendredi 22 décembre à Toulouse. Cette initiative lancée par le secrétaire d'État au numérique doit permettre de faire remonter les freins rencontrés par les jeunes sociétés : lourdeurs administratives, arrivée du RGPD, problèmes de financement... Mais Mounir Mahjoubi est resté flou sur les leviers à sa disposition pour changer la donne.
Emmanuel Macron avait suscité beaucoup d'espoirs chez les entrepreneurs pendant la présidentielle en appelant de ses voeux la naissance d'une "startup nation". Les startups toulousaines ont rappelé ce vendredi 22 décembre que la France est encore loin du compte. Dans le cadre du tour des startups initié par le gouvernement, une dizaine d'entre elles étaient réunies à l'incubateur toulousain de Météo France pour faire part à Mounir Mahjoubi secrétaire d'État au Numérique et Brune Poirson secrétaire d'État à la Transition énergétique de leurs doléances.
Réunion entre les startups et les ministres à Météo France (Crédit : Rémi Benoit). Freins administratifs et mise en place du RGPD En tête figurent notamment les lourdeurs administratives et règlementaires. Christophe Aube fondateur d'Agreenculture, une startup en cours de création d'un robot agricole, fait remarquer : "On nous demande de respecter les mêmes normes que les robots dans les usines". Plusieurs sociétés font également part de leur inquiétude avec l'arrivée du RGPD. Le règlement général sur la protection des données qui va entrer en vigueur en mai prochain va obliger par exemple toutes les entreprises européennes à nommer un délégué dédié à la protection des données utilisateurs. En cas de manquement, l'entreprise s'expose à une sanction financière pouvant aller jusqu'à 4% de son chiffre d'affaires. "Si nous traitons 100 000 commandes, c'est autant de données d'utilisateurs à gérer", interpelle Sandrine Jullien-Rouquié, fondatrice de Ludilabel (étiquettes autocollantes). Sur ce point, Mounir Mahjoubi a rétorqué : "Le RGPD a vocation a vous simplifier la vie puisqu'il sera valable sur l'ensemble des pays de l'Union européenne", avant de préciser que les entreprises avec des données très sensibles seront les premières qui pourront être sanctionnées, les autres s'exposant dans un premier temps surtout à des rappels de leurs obligations. Des ministres aussi démunis que les startups Autre sujet d'achoppement au cours de la matinée : l'accès des startups à la commande publique. Adélaïde de Vulliod, chargée de développer le business de la startup Citizen farm regrette qu'"après 1 an et demi d'expérimentation auprès de Toulouse Métropole (avec l'installation d'une ferme urbaine aux Abattoirs, NDLR), il n'y ait pas de suite au projet, faute de moyens". De son côté, le secrétaire d'État au Numérique note que : "Parfois, les administrations préfèrent renouveler des contrats avec des grands groupes, ça les rassure alors qu'une solution aussi efficace et moins coûteuse pourrait être proposée par une startup". Sa consoeur à la Transition énergétique complète : "Lors des meetups que nous avons organisé entre les startups et les collectivités, on s'aperçoit que ce sont deux mondes aux antipodes..." À Toulouse
ce vendredi, les ministres semblaient au final aussi démunis que les startups pour faire évoluer l'appareil d'État vers cette "startup nation".
(Crédit : Rémi Benoit). La Ville rose était la 8e étape de ce tour des startups. Par ailleurs, un millier de contributeurs ont envoyé sur internet leurs doléances pour favoriser l'innovation. Un rapport compilant leurs demandes sera rendu au mois de février. Mais Mounir Mahjoubi est resté évasif sur les leviers à sa disposition pour changer la donne. "Cela va du règlement à la loi. Certains problèmes peuvent aussi se régler sans loi en échangeant au sein des administrations".
DATE-CHARGEMENT: 22 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBOB
Copyright 2017 La Tribune
Tous droits réservés
197 of 500 DOCUMENTS
La Tribune PACA
vendredi 22 décembre 2017
"Un SOC efficace ne peut pas uniquement s appuyer sur un SIEM"
AUTEUR: Sergio Loureiro - PDG SecludIT
RUBRIQUE: INNOVATION
LONGUEUR: 1102 mots
ENCART: 89% des RSSI considèrent que leur service de cybersécurité ne répond pas à l ensemble des besoins de leur organisation selon l enquête annuelle Global Information Security Survey menée par EY. Pourtant près de 48% des entreprises déclarent bénéficier d un SOC (Security Operation Center).
Un SOC a vocation à être le point central de la sécurité d'une entité. Il doit permettre l'amélioration et le contrôle de la sécurité à tous les niveaux temporels d'un incident : Prévention/Protection, Détection/Réaction et Investigation/Résilience/Renseignement. Le besoin des entreprises est d'avoir une vision exhaustive globale, opérationnelle et permanente de leurs sécurités, ainsi qu'une information rapide sur les incidents qu'elles rencontrent.
Le renforcement des obligations en matière de suivi de prévention et de suivi des incidents (RGPD, LPM) impose aussi de mettre en conformité et de suivre la conformité des systèmes d'information en termes de sécurité.
Pour répondre à ces différents points, les équipes opérant dans le SOC doivent pouvoir s'appuyer sur des sources d'informations multiples afin de couvrir l'ensemble des phases.
Lacunes d'un SIEM pour couvrir ce périmètre
Dans un système informatique, les logs permettent de savoir ce qui vient de se passer ou s'est passé il y a un certain temps. Le rôle d'un SIEM (Security Information Management System) est d'exploiter les logs.
Sur le plan temporel, le SIEM va donc pouvoir avoir un impact sur les phases de Détection/Réaction et d'Investigation. Mais, sans source d'information complémentaire, il sera peu utile sur la phase de Prévention/Protection.
Un SIEM n'est qu'un outil d'analyse de logs. Sa capacité est limitée aux informations fournies dans les logs. De fait, il ne sera pas en mesure de détecter des incidents ne laissant pas de traces sur les équipements dont les logs sont collectés. Cela le rend relativement inutile pour détecter un problème sur un système d'exploitation ou pour diagnostiquer l'impact d'un incident sur un système (telles une intrusion, l'installation de rootkit, l'altération du système ou des applications, ...). Bien qu'étant la pierre angulaire d'un SOC, le SIEM a besoin de solutions complémentaires pour avoir une vision d'ensemble des faiblesses d'un SI et des événements s'y produisant.
Les principaux outils sont les solutions de contrôles de conformité en continue, de vulnérabilités et d'intégrité. Ces solutions permettent de fournir des informations sur les brèches utilisables par un attaquant, et suivent et tracent en profondeur les variations des systèmes ou les signes d'actions potentiellement illicites.
Apport des solutions de contrôles continus de vulnérabilités et de conformité
Selon Forrester, les vulnérabilités sont la première porte d'accès pour 53% des cyber-attaques. L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) préconise l'ajout d'un scanner de vulnérabilité en continu comme bonne pratique de réduction de risques. Ce type de solution permet une meilleure détection et une amélioration de la réaction face aux menaces. Par ailleurs, maintenir ses systèmes en conformité permet d'en réduire le périmètre et donc les vulnérabilités. Vérifier toute évolution de ces états facilite la réaction à un dysfonctionnement ou à l'exploitation d'une brèche.
Le SIEM permet de détecter l'exploitation ou les tentatives d'exploitation de potentielles vulnérabilités d'un système d'information. Les tests de vulnérabilité et les mises en conformité visent à identifier de manière proactive les faiblesses de l'infrastructure et faciliter leur correction. Ils permettent aussi de vérifier quand une tentative d'attaque est détectée, si celle-ci peut, ou non, réussir.
Un SIEM fournit un nombre conséquent d'alertes tout au long de la journée. Les équipes sécurité doivent gérer cette masse d'informations importante et trier les véritables incidents de sécurité parmi de nombreux faux positifs. Un travail en amont, très chronophage, est aussi nécessaire pour configurer le SIEM selon ses besoins afin de trier les doublons et réduire les alertes.
Le fait de connaitre le niveau de risque des différentes cibles et leurs vulnérabilités permet de trier et prioriser efficacement les alertes remontées par le SIEM. Par exemple, s'il s'agit d'une anomalie sur un serveur sans vulnérabilité connue et non critique, la priorité est réduite et les équipes sécurité peuvent se concentrer sur des tâches plus importantes.
Comment construire un SOC efficace, pragmatique et le plus complet possible
Les standards de la sécurité comme l'ANSSI et le CIS (Center for Internet Security), entre autres, plébiscitent le recours à un SOC dans le cadre d'une politique de sécurité renforcée. Par ailleurs, certaines réglementations récentes l'imposent (LPM) ou le recommandent fortement (RGPD avec l'obligation du suivi de la sécurité).
La majorité des offres SOC s'avèrent être incomplètes pour répondre aux besoins. Elles se limitent à un SIEM et ne couvrent donc qu'une partie des attentes. C'est pour cela qu'il est nécessaire d'assembler des solutions complémentaires pour gérer le suivi de la sécurité de son infrastructure de "A à Z".
Le SIEM est la pierre angulaire du SOC mais il faut le coupler pour l'enrichir à des solutions de détection des vulnérabilités et de surveillance de l'intégrité en continu. C'est dans cette optique que les sociétés Oveliane (éditeur de solutions de contrôle continu de la conformité et de l'intégrité) et SecludIT se sont rapprochées. "La complémentarité de nos solutions semble évidente pour couvrir l'ensemble du besoin et permet à nos clients d'avoir une vision complète de la sécurité avec leur SOC" ajoute Laurent Noë, PDG d'Oveliane.
Un des principaux avantages de ce couplage est que la solution ainsi formée peut empêcher le SIEM, qui traite une masse de données importante, de déclencher des alarmes trop fréquemment voire de faux positifs, le plus souvent lorsqu'il est déjà trop tard.
L'utilisation conjointe de ces 2 solutions dans un SOC permet aux entreprises de centraliser les logs dans le SIEM puis de construire les indicateurs de risque qui vont être les plus pertinents pour chacune d'elles. Elles pourront être alertées en temps réel de tout nouveau problème de sécurité ainsi que des vulnérabilités présentent sur leurs infrastructures
Sans logs pertinents, un SIEM est aveugle et le SOC inopérant. Apporter l'information sur l'état des vulnérabilités, sur le respect de la conformité et sur les changements est nécessaire pour que le SIEM donne une réelle vision de la sécurité et de l'ensemble des incidents se produisant dans un système d'information. Ce sont donc les éléments nécessaires pour qu'un SOC soit réellement utile, opérationnel et rende les services pour lesquels il est censé exister.
________________________________ SecludIT, basée à Sophia-Antipolis, est un éditeur de solutions de détection des failles en continu.
DATE-CHARGEMENT: 16 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: LTPACA
Copyright 2017 La Tribune
tous droits réservés
198 of 500 DOCUMENTS
Le Cercle
vendredi 22 décembre 2017
RGPD : un marqueur de confiance pour les entreprises conformes
AUTEUR: Sooji Seo
RUBRIQUE: ARTICLE
LONGUEUR: 532 mots
ENCART: Le 25 mai 2018, soit la fin du délai accordé pour se mettre en conformité avec le RGPD se rapproche. Les débats se sont jusqu'ici focalisés sur les lourdeurs administratives et le montant des sanctions encourues. Toutefois le RGPD est un vrai marqueur de confiance pour toute entreprise qui y sera conforme.
Le 25 mai 2018, date butoir qui marque la fin du délai accordé pour se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD), se rapproche. Les débats se sont jusqu'ici focalisés sur les lourdeurs administratives imposées et le montant des sanctions encourues par ceux qui ne respecteront pas les principes de protection des données. Il s'agit toutefois d'une approche légèrement restrictive. En réalité, cet engagement de conformité avec le RGPD pourrait bien introduire un marqueur de différenciation plus important que ce que l'on pourrait croire.
Pour une entreprise qui envisage le RGPD comme étant la continuité d'un programme de protection des données personnelles déjà en vigueur, cette mise en conformité impliquera davantage une problématique d'intégration du RGPD dans ses politiques établies que la construction d'une stratégie de A à Z.
Les organisations respectant les exigences du RGPD démontrent aux instances de régulation comme au grand public qu'elles sont dignes de confiance. "Vous pouvez nous faire totalement confiance pour protéger vos données personnelles". Voilà le message que la conformité avec le RGPD envoie aux clients actuels ou potentiels, aux salariés et à toute partie prenante en affaires avec ces organisations.
L'entreprise qui s'engage sur l'application du RGPD apporte à ses parties prenantes l'assurance qu'elle a mis en place une politique de confidentialité et des pratiques de sécurité appropriées et qu'elle est en mesure de protéger les données personnelles des conséquences d'une cyberattaque par exemple. La conformité d'une entreprise au RGPD démontre également sa capacité à préserver les données de ces clients d'une divulgation accidentelle par un tiers. On ne saurait exagérer l'importance de cette confiance.
Lorsque l'on envisage de faire affaire avec une entreprise, il faut d'abord être certain de pouvoir lui faire confiance : prend-elle au sérieux l'application du RGPD ? Où en est-elle dans sa démarche de mise en conformité avec le RGPD ? Peut-on avoir confiance dans sa capacité à protéger ses données personnelles, à savoir les données personnelles de ses clients, ses salariés et de tous ceux qui nous ont confié leurs données personnelles ?
Il faut donc être prêt à apporter la preuve que la démarche de mise en conformité de l'entreprise avec le RGPD est déjà suffisamment aboutie pour qu'on lui accorde le plus haut degré de confiance. Pour y parvenir, il faudra :
· Identifier les principaux domaines à risques et réfléchir attentivement à la façon de les maîtriser. Faire l'inventaire des données personnelles auxquelles l'entreprise a accès, de leurs points de collecte, des flux entrants et sortants de l'organisation et, le cas échéant, des processus de traitement de ces données par des tiers.
· Déterminer si les contrôles de confidentialité et de sécurité, les processus et la gouvernance des données mis en place sont appropriés.
En résumé, la mise en conformité avec le RGPD est l'objectif prioritaire de nombreuses organisations entre la date d'aujourd'hui et le 25 mai 2018. Inspirer confiance, voilà la première conséquence majeure indirecte de la réussite de cette démarche de conformité.
DATE-CHARGEMENT: 4 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
199 of 500 DOCUMENTS
Revue Banque
22 décembre 2017
Règlement général sur la protection des données : rendez-vous en mai 2018
RUBRIQUE: RÉTROSPECTIVE
LONGUEUR: 1444 mots
Le 13 décembre, le projet de loi français adaptant la loi Informatique et Libertés au droit européen a été publié. De fait, l'année écoulée aura été marquée par la préparation des banques et plus généralement de l'ensemble des entreprises à l'entrée en vigueur le 25 mai 2018 du RGPD[1].
L'emprise du RGPD est large puisqu'il s'applique : aux traitements de données des entreprises présentes dans l'UE, que ceux-ci soient effectués ou pas dans l'UE ; aux traitements effectués par des entreprises non présentes dans l'UE, s'ils portent sur des résidents européens ; à l'entreprise à l'origine du traitement, mais aussi, dans une large mesure, à ses sous-traitants.
Le réglement renforce des droits déjà reconnus, comme la notion de consentement à l'utilisation des données, le droit d'accès, d'opposition, ou encore le droit à l'oubli, mais il définit aussi des droits nouveaux :
la portabilité : les personnes doivent pouvoir récupérer et transférer leurs données dans un « format structuré, couramment utilisé et lisible par machine », pour passer sans difficulté d'une plate-forme à une autre ; la limitation, qui impose au responsable de traitement de conserver les données tout en interdisant leur utilisation (en réponse à certaines situations contentieuses).
Les conséquences opérationnelles sont fortes. Tout d'abord, et c'est la principale nouveauté du RGPD, celui-ci définit une nouvelle forme de mise en conformité des entreprises : celle-ci s'exerçait jusqu'alors par des demandes d'autorisation préalables auprès de l'autorité de contrôle nationale, en France la CNIL. Selon le nouveau principe d'accountability, l'entreprise doit elle-même s'assurer de la conformité de ses traitements, et donc mettre en place un dispositif ad hoc de contrôle interne mais aussi de reporting pour l'autorité de contrôle. Et si le traitement comporte des risques élevés, l'entreprise devra réaliser au préalable une étude d'impact sur la vie privée. Par ailleurs, un délégué à la protection des données (DPD), indépendant dans l'exercice de ses missions, doit être désigné dans les entités qui réalisent des traitements impliquant un suivi régulier et à grande échelle de personnes. Ce poste reprend et précise celui de correspondants Informatique et Libertés. Enfin, les processus internes devront être adaptés au principe de privacy by design, qui consiste à intégrer les mesures de protection des données dès la conception du traitement, comme un élément inhérent à son déroulement. Le règlement évoque sur ce plan la pseudonymisation des données, ou des process automatisés pour fixer leur durée de conservation, ou faciliter l'exercice des droits des personnes. De même il faudra respecter un principe de privacy by default, qui impose de garantir par défaut le plus haut niveau de protection des données.
Enfin, les entreprises devront notifier les violations de données personnelles à l'autorité de contrôle (une obligation limitée jusqu'alors aux opérateurs de télécommunication). Si celle-ci estime que les mesures de protection n'étaient pas suffisantes, elle peut alors exiger que chaque personne dont les données ont été compromises soit informée individuellement...
Les sanctions pour manquement au RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise incriminée, « le montant le plus élevé étant retenu », ce qui de facto, signifie que celui-ci ne fixe pas de plafond aux sanctions...
Achevé de rédiger le 12 décembre 2017.
Ils ont dit...
Une innovation majeure
« L'accountability est une innovation majeure du RGPD et il irradie le texte (article 24 et articles 25 à 35). Ce nouveau principe caractérise le basculement du mécanisme des formalités préalables relatives aux traitements de données vers un mécanisme d'autocontrôle[2]. Changement de paradigme[3] en effet puisque le contrôle a priori de la conformité des traitements est désormais à la charge du responsable de traitement et non plus de l'autorité de contrôle. »
Eric Caprioli, avocat, et Isabelle Cantero, avocat associé (Caprioli & Associés), Banque Stratégie n° 360, juillet-août 2017, pp. 25-27.
De nouveaux droits
« L'adoption du règlement a été l'occasion de reconnaître de nouveaux droits aux personnes dont les données sont traitées. Ces droits trouvent en grande partie, là encore, leur justification dans le développement de l'internet et plus particulièrement des réseaux sociaux. C'est ainsi que le droit à la portabilité des données, le droit à l'oubli ou encore le droit de limitation font leur apparition. »
Xavier Lemarteleur, responsable juridique, Groupe La Poste, Hors-série Banque & Droit, mars-avril 2017, pp. 15-22.
Le DPO prend le relais des CIL
« Il semblerait que la plupart des acteurs du secteur bancaire et financier soient soumis à l'obligation de désigner un DPO[4]. [...]
Le DPO doit présenter des garanties d'indépendance. Celle-ci se matérialise par l'absence d'instruction en ce qui concerne ses missions, mais aussi par l'impossibilité d'être sanctionné au seul motif de les avoir exercées. Le point 3 de l'article 38 dispose en ce sens que "le Délégué à la protection des données ne peut être relevé de ses fonctions". »
Garance Mathias, avocate, Mathias Avocats, Amandine Kashani-Poor, CIL, Agence Française du Développement, Aline Alfer, avocate, Mathias Avocats, « Le Délégué à la protection des données (DPO), clé de voûte de la conformité », RB Edition, septembre 2017, p. 43 et p. 109.
La notion de consentement
« Comme la loi Informatique et Libertés, le règlement prévoit que chaque traitement de données personnelles repose sur un ou plusieurs fondements dont la liste est énumérée à l'article 6 du RGPD. Le consentement est l'un de ces fondements au même titre que le respect d'une obligation légale, l'exécution de mesures contractuelles ou l'intérêt légitime du responsable de traitement. Dès lors, le consentement n'est pas un fondement exclusif. Il est à manier avec précaution car il doit être libre, spécifique et informé, et résulter d'une action non ambiguë de la personne concernée. La condition de liberté peut en particulier susciter des interrogations, le règlement s'y attachant particulièrement (cf. considérant 43). Il ne doit pas être forcé. Ainsi, dans l'hypothèse où des données seraient nécessaires à une prestation de service, leur collecte ne serait pas libre. En effet, en cas de refus, la personne ne pourrait bénéficier du service en question. Dès lors, il semble opportun de privilégier un autre fondement. »
Aurélie Banck, Compliance Manager, American Express, Revue Banque n° 810, juillet-août 2017, pp. 24-27.
Environnement réglementaire
« Le RGPD ne constitue pas, à lui seul, l'alpha et l'oméga de la protection des données personnelles au sein de l'Union européenne.
Depuis le 1er juillet 2016, s'appliquent les dispositions du Règlement dit eIDAS. Ce règlement a notamment pour objet de s'assurer que les citoyens européens bénéficient d'une identité électronique partout en Europe et plus uniquement dans le pays d'émission de l'identité électronique et l'ouverture d'un marché européen des Prestataires de service de confiance (PSCO).
Il convient aussi d'évoquer la Directive NIS inspiratrice de la loi de programmation militaire pour les années 2014 à 2019. Cette directive poursuit trois principaux objectifs, tout d'abord le renforcement de la cybersécurité au niveau national, le renforcement de la coopération au niveau Européen et, enfin, la gestion des risques sécuritaires et la notification des failles de sécurité, en sus des notifications prévues par le RGPD.
Dernier texte européen en gestation, la proposition de règlement de la Commission européenne concernant le respect de la vie privée et des données personnelles dans le secteur des communications électroniques, abrogeant la directive 2002/58/CE dite « Vie privée et communications électroniques. »
Emmanuel Jouffin, responsable juridique de banque,Hors-série Banque & Droit, mars-avril 2017, pp. 4-11.
E-privacy
« Le projet de règlement de la Commission et du Parlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques a été élaboré en collaboration avec nos collègues du département Justice qui ont travaillé sur le texte du GDPR afin d'harmoniser les deux textes. [...] Ainsi, le règlement de la Commission précise et complète le RGPD avec des obligations spécifiques qui s'appliquent aux données de communications électroniques qui peuvent être considérées comme des données à caractère personnel.»
Rosa Barcelo, directrice département Digital Privacy, DG Connect Commission européenne, Revue Banque n° 810, juillet-août 2017, pp. 38-40.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
200 of 500 DOCUMENTS
Acteurs publics
21 décembre 2017
La protection des données personnelles, une politique du coup par coup
RUBRIQUE: ACTUALITES
LONGUEUR: 784 mots
Droit à l'effacement, droit à l'oubli et droit à la portabilité des données : c'est un trio de droits nouveaux que crée le projet de loi relatif à la protection des données personnelles. Présenté en Conseil des ministres le 13 décembre par la ministre de la Justice Nicole Belloubet, le texte adapte au droit de l'Union européenne la loi « Cnil » du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Ce cadre juridique européen -surnommé « paquet européen de protection des données »- se compose d'un règlement (le RGPD) et d'une directive directement applicables dans les Etats membres à compter du 25 mai 2018. Le premier fixe le cadre général de la protection des données quand la seconde se focalise spécifiquement sur les fichiers de la sphère pénale. Une course contre la montre s'engage désormais puisqu'il faudra impérativement que le projet de loi français, ainsi que ses décrets d'application, entrent en vigueur avant le 25 mai 2018.
Le contrôle a posteriori devient la règle
« Ce cadre juridique sécurisé permettra de renforcer la confiance des citoyens dans l'utilisation qui est faite de leurs données personnelles », espère la Place Vendôme dans un communiqué.
Sur le fond, le projet de loi crée un cadre unifié pour les données personnelles des Européens, applicable à l'ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation, dès lors que ceux-ci offrent des biens et services à des personnes résidant sur le territoire de l'Union européenne.
Sur la forme cette fois, le projet de loi remplace le système de contrôle a priori, basé sur les régimes de déclaration et d'autorisation préalables, par un système de contrôle a posteriori, fondé sur l'appréciation par le responsable de traitement des risques causés par son traitement. En contrepartie, les pouvoirs de la Commission nationale informatique et libertés (Cnil) sont renforcés, et les sanctions encourues sont considérablement augmentées : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial consolidé.
L'exception des données biométriques
Le ministère de la Justice prévoit toutefois que seront maintenues certaines formalités de contrôles préalables « pour les traitements des données les plus sensibles », par exemple pour les données biométriques nécessaires à l'identification ou au contrôle de l'identité des personnes, ou pour les traitements utilisant le numéro d'inscription au répertoire national d'identification des personnes physiques.
En outre, « les mineurs de moins de 16 ans seront mieux protégés », assure le ministère : le consentement des titulaires de l'autorité parentale sera nécessaire pour que leurs données personnelles soient traitées par « les services de la société de l'information », tels que les réseaux sociaux.
Une « nouvelle étape » pour la Cnil
Dans son avis relatif à ce projet de loi qui renforce ses prérogatives, la Cnil salue une « nouvelle étape » et souligne que le texte « joue pleinement le jeu du règlement [européen] et de l'harmonisation recherchée par celui-ci, en ne maintenant des dérogations nationales que lorsque celles-ci sont réellement justifiées, notamment en matière de données de santé ».
En revanche, la Commission regrette que certaines de ses propositions n'aient pas été retenues telles « l'ajout de garanties supplémentaires lors de l'utilisation de traitements algorithmiques débouchant sur l'adoption de décisions administratives » ou encore « l'adaptation des procédures [de la Cnil ndlr.] pour lui permettre de faire face à l'augmentation d'activité liée au nouveau cadre européen ».
Le retour des ordonnances
Une autre ombre au tableau pourrait surtout prendre de l'ampleur : le fait que le gouvernement souhaite recourir à une ordonnance pour réécrire prochainement l'ensemble de la loi informatique et liberté de 1978.
Au-delà d'un « manque de lisibilité » pointé par la Cnil, d'autres acteurs s'inquiètent de la méthode gouvernementale, notamment dans le monde enseignant. « L'avènement de la société numérique conduit de plus en plus de citoyens à se poser de nombreuses questions. Revoir l'emblématique loi Informatique et liberté devrait être l'occasion d'un débat public », relève ainsi dans un communiqué le syndicat majoritaire des professeurs de collège et lycée, Snes-FSU.
Alors que le projet de loi présenté le 13 décembre « ne fait aucune référence aux données scolaires », le syndicat demande que celles-ci bénéficient d'un « statut » spécifique. « Sans être aussi contraignant que celui des données médicales, il assurerait cependant qu'on ne puisse faire de ces données un usage préjudiciable aux membres de la communauté éducative, et en particulier aux élèves », argue le Snes.
DATE-CHARGEMENT: 21 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Société d'édition publique
Tous droits resérvés
201 of 500 DOCUMENTS
Revue Banque
20 décembre 2017
Digitalisation et RGPD : les enjeux pour le secteur financier
RUBRIQUE: ECONOMIE NUMÉRIQUE
LONGUEUR: 1662 mots
ENCART: Trois principaux enjeux peuvent être identifiés dans la mise en application du RGPD : la conduite d'un grand projet d'implémentation transversal ; la prise en compte des dispositions du RGPD dans la digitalisation des relations clients ; enfin, la politique à adopter pour la gestion des données personnelles, entre sécurisation et valorisation de ce nouvel actif.
Le Règlement général sur la protection des données personnelles (RGPD) entre en application en mai 2018. Il renforce les droits des personnes physiques, pose de nouvelles obligations pour les entreprises et oblige à repenser les dispositifs de conformité. À la logique de contrôle et d'autorisation préalable aux traitements qui prévalait sous l'empire des précédents textes, le RGPD promeut une approche fondée sur les risques, et une responsabilisation accrue des organisations qui va de pair avec un alourdissement des sanctions. Les entreprises devront notamment s'assurer que les traitements de données personnelles puissent garantir dès leur conception (privacy by design), puis à chaque utilisation, le plus haut niveau possible de protection (privacy by default).
Un enjeu de civilisation et de compétitivité
Le RGPD ordonnance les relations entre deux libertés qui peuvent sembler antinomiques au premier abord. Cet ordonnancement - fruit des discussions en procédure de conciliation entre le Parlement, la Commission et le Conseil - est un enjeu de civilisation et de compétitivité, car certains pays n'ont pas les mêmes pudeurs que les États membres de l'Union. D'un côté, il s'agit d'offrir un cadre à la libre circulation des données personnelles et de permettre le développement de l'économie numérique. En effet, les données ne sont pas seulement des actifs que l'accroissement des capacités de calcul, de stockage et de nouveaux types d'algorithmes permettent de mieux exploiter : ce sont aussi des actifs qui s'inscrivent dans un cycle de marchandisation. De l'autre, il s'agit de préserver les libertés individuelles et publiques. Et sur ce sujet, le législateur a été remarquablement constant. Dès 1978, la Loi informatique et libertés disposait que l'informatique ne devait pas porter atteinte à l'identité humaine ni aux droits de l'homme. Cette idée fut reprise dans les lignes directrices de l'OCDE (1981), inspira le Conseil de l'Europe (Convention de 1982) puis la Commission européenne (directive de 1995). La protection des données personnelles a été sanctuarisée par son inscription dans les droits fondamentaux de l'Union européenne (conseil européen de Nice en 2000, Traité de Lisbonne en 2007). Alignées sur cette tendance, les jurisprudences de la CJUE et du Conseil d'État aujourd'hui se rejoignent dans des approches qui demeurent très favorables au droit des individus (cf. arrêts Digital Rights Ireland, sur la conservation des données, et Decaux, sur leur anonymisation).
Quoi qu'il en soit, avec la digitalisation, la protection des données personnelles est devenue un paramètre plus important qu'il ne l'était pour le développement des entreprises. Et ceci est particulièrement vrai dans le secteur de la banque-assurance.
Le déploiement du RGPD appelle à une logique de transversalité
Les banques-assureurs sont naturellement collecteurs et utilisateurs de données personnelles. Ils font partie des entreprises qui étaient déjà les plus impactées par la directive de 1995 et figurent aujourd'hui parmi celles qui sont le plus concernées par le RGPD.
Les entreprises du secteur financier disposent d'atouts pour se mettre en conformité avec le RGPD. Conséquence du tsunami réglementaire, elles ont dû développer un savoir-faire en matière d'implémentation de grands projets réglementaires. Elles sont également en capacité de mobiliser des moyens parfois significatifs. Par ailleurs, le RGPD recycle un certain nombre de dispositions issues des précédents textes sur la protection des données personnelles et vis-à-vis desquelles les établissements étaient déjà conformes.
Le RGPD entretient des liens étroits avec d'autres grands chantiers sur lesquels les établissements ont déjà dû se pencher, comme la gouvernance de la donnée, la cybercriminalité et le déploiement de dispositifs de contrôle interne efficients sur les prestataires essentiels. Ainsi, l'un des enjeux d'un projet de déploiement du RGPD est de ne pas se cantonner aux domaines d'intervention des fonctions Conformité et de s'inscrire dans une logique de transversalité :
le RGPD est un paramètre de plus à coordonner avec la nécessité de s'adapter à l'augmentation tendancielle du volume des données et de permettre leurs traitements tout en maîtrisant les coûts (Big Data). Il faut aussi répondre à l'inflation des demandes et exigences de fiabilité en matière de reportings réglementaires. La mise en conformité avec les exigences du RGPD en matière de recensement et de documentation peut être facilitée par les travaux menés par les DSI sur la gouvernance de la donnée ; le RGPD impose un contrôle sur les sous-traitants. Cette contrainte s'inscrit dans la continuité de dispositions déjà présentes dans la CRD 4 et les recommandations du Comité de Bâle. À ce titre, il paraît peu opportun de dupliquer ou fractionner les processus de contrôle existants ou en développement sur les PSEE[1], déjà sous pilotage des fonctions de contrôle interne ; l'obligation de notification des violations (qui était préfigurée dans la directive de 1995) est à considérer avec les dispositifs anti-cybercriminalité, notamment pilotés par les RSSI/ITSO[2], d'autant que sur un plan IT, il n'y a pas de différence entre une donnée personnelle ou une donnée de risque ; pour les directions de la stratégie, les DSI et les directions des opérations, le caractère extraterritorial du RGPD (respect des décisions d'adéquation, binding corporate rules[3]) ne peut être ignoré des décisions de relocalisation et d'offshoring ; pour les directions juridiques, le RGPD doit être considéré en lien avec le droit des pays non membres de l'Union, sans compter qu'en France même, plusieurs textes connexes sont à prendre en compte (loi pour une République numérique de 2016, ordonnances transposant la directive de 2009 sur la vie privée et les communications téléphoniques).
Au final, la mise en application du RGPD appelle une implication effective en mode projet comme en production de la presque totalité des fonctions de l'entreprise, avec une gouvernance qui aide à dépasser les logiques de territoires et ne se limite pas à la simple nomination d'un Data Protection Officer (DPO).
Les stratégies de digitalisation à l'épreuve des contraintes du RGDP
La digitalisation permet d'accompagner l'évolution des modes de consommation, notamment dans l'usage des téléphones mobiles. Outre l'amélioration de l'efficience opérationnelle, pour la banque-assurance, c'est aussi un moyen de se différencier par les services. Alors que le big data est un sujet d'attention (cf. consultation de l'EBA[4]), le RGPD et des textes connexes imposent déjà des garde-fous en matière de recours à la technologie :
en France, les décisions automatisées ne doivent pas emporter à elles seules des conséquences juridiques sur les individus. Il pèse aussi une obligation de transparence sur les algorithmes. Cette obligation peut être difficile à respecter, notamment en cas de recours à l'intelligence artificielle. Par exemple, on ne sait pas encore expliciter causalement les « choix » opérés par les réseaux neuronaux. Au-delà des études d'impact à mener dans le cadre du RGPD, le recours à l'intelligence artificielle pose d'importantes questions en matière d'autonomie, de délégation et de responsabilité de l'individu. Ces questions font l'objet de débats et devraient déboucher sur de nouvelles propositions d'encadrement par les pouvoirs publics ; la tendance actuelle est au développement de l'open banking, avec des modèles de services ouverts et modulables permettant de séparer les activités de production et de distribution. La DSP2 pousse à ce mouvement sur les services de paiements. Toutefois, des solutions doivent être trouvées pour concilier l'utilisation des API avec les obligations de recensement des traitements et de gestion du consentement ; les contraintes du RGPD ne s'appliquent pas aux données anonymes. Mais l'anonymisation (distincte de la pseudonymation) doit être irréversible, ce qui nécessite une bonne maîtrise des algorithmes et un bon verrouillage des risques opérationnels. Le RGPD demande aussi d'informer la personne concernée qu'elle n'est plus identifiable, ce qui est paradoxal.
Être conforme au RGPD sans s'aliéner la relation client
Le RGPD n'oppose pas digitalisation et mise en conformité. Le texte présente notamment deux exemptions à l'opt-in[5], qui sont le recours à l'intérêt légitime du traitement et le traitement nécessaire à l'exécution du contrat. Ces exemptions permettent par exemple de ne pas alourdir l'expérience utilisateur. Mais au regard de l'incertitude juridique qui entourent leur mise en application (cf. groupe de travail G29 et décisions CNIL Google et Facebook prises sous l'empire de l'ancienne législation[6]), la décision d'y recourir devrait tenir compte de l'appétit aux risques des dirigeants effectifs.
Des acteurs des télécommunications entrent sur le marché de la banque assurance. À l'inverse, sans supporter de charge en capital ni obtenir d'agrément, des GAFA mettent à profit la dissociation entre production et distribution, collectent de manière expansionniste des données, les traitent pour leur conférer du sens, c'est-à-dire de la valeur, puis les monétisent. Sur ce sujet, la menace ne vient pas forcément de ceux qui vous copient : en périphérie du RGPD, ce qui se joue autour de la donnée personnelle, c'est un déplacement possible du centre de gravité de la relation client.
Au final, le commerce de l'argent repose sur la confiance et une garantie de sécurité. Les banques opèrent dans le respect du secret bancaire, notion à géométrie variable, aujourd'hui amoindrie mais néanmoins toujours existante. Un établissement peut protéger les données personnelles comme elle sécuriserait les avoirs des clients ou, à l'autre extrémité, promouvoir la création de valeur via la vente de ces données. À ceci correspondent des modèles différents, avec des finalités sur lesquelles le RGPD incite les dirigeants à clairement se positionner.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
202 of 500 DOCUMENTS
Revue Banque
20 décembre 2017
Du Correspondant informatique et libertés au Délégué à la protection des données
RUBRIQUE: TRANSITION VERS LE RGPD
LONGUEUR: 1774 mots
ENCART: Dans le cadre de la mise en conformité au Règlement général sur la protection des données, les entités peuvent s'appuyer sur leur dispositif existant en matière de protection des données, pour le faire évoluer vers un « niveau plus élevé ». Il revient tout naturellement aux CIL - et souvent futurs DPO - de gérer cette période transitoire.
L'entrée en application du Règlement général sur la protection des données (ci-après indifféremment désigné « RGPD » ou « Règlement »)[1] le 25 mai 2018 conduit à l'évolution du cadre juridique de la protection des données à caractère personnel. Elle emporte également un changement significatif de culture en la matière, la responsabilisation des acteurs étant au coeur du nouveau dispositif. Cette responsabilisation passe notamment par la mise en place d'analyses d'impact pour certains des traitements de données à caractère personnel mis en oeuvre, la documentation interne de la conformité de ces traitements mais aussi, plus généralement, par la nécessité d'instaurer une véritable gouvernance de la conformité en matière de protection des données à caractère personnel.
Le Règlement place au coeur de cette gouvernance un acteur clé : le Délégué à la protection des données (DPO)[2]. Véritable chef d'orchestre de la conformité, le DPO bénéficie par définition d'une vision transversale des activités de l'entité qui l'a désignée. Ayant une mission à la fois de conseil et de contrôle, il n'est cependant pas décisionnaire des modalités de mise en oeuvre d'un traitement. In fine, en cas de manquement au RGPD, c'est bien le responsable du traitement ou le sous-traitant, personne morale, pris en la personne de son représentant légal, qui sera susceptible d'être sanctionné par l'autorité de contrôle. Le Règlement ne prévoit en effet aucune sanction à l'encontre du DPO en cas de manquement constaté au sein de l'entité qui l'a désignée.
Dans l'attente de l'entrée en application du RGPD, les entités publiques et privées - qu'elles soient ou non soumises à l'obligation de désigner un DPO en application du RGPD[3] - doivent se préparer. Pour cela, elles entameront - ou, pour certaines, poursuivront - leur processus de mise en conformité. Étant précisé que ce dernier se poursuivra bien au-delà du 25 mai 2018, la conformité ayant vocation à être intégrée à toutes les étapes d'un projet impliquant la mise en oeuvre ou la modification d'un traitement de données à caractère personnel.
Au cours de cette période transitoire, les entités doivent identifier le ou les acteur(s) clé(s) sur le(s)quel(s) s'appuyer afin d'amorcer les évolutions nécessaires de leur dispositif de conformité. De ce point de vue, les entités disposant d'ores et déjà d'un Correspondant informatique et libertés (CIL) ou de tout autre acteur dédié à la conformité en matière de protection des données à caractère personnel, ont nécessairement un temps d'avance.
À ce titre, le CIL (ou la personne assumant ses fonctions), auquel la fonction de DPO succédera, reste l'acteur légitime de la transition. En outre, les entités auront tout intérêt à capitaliser sur les outils qu'il aura contribué à mettre en place au sein de son organisme.
Le CIL : l'acteur légitime de la transition vers le RGPD
En France, les entités publiques et privées peuvent, depuis 2005, désigner auprès de la Commission nationale de l'informatique et des libertés (Cnil), un Correspondant à la protection des données, plus connu sous l'appellation « CIL ».
Cet acteur de la protection des données a fait son entrée dans le paysage français de la protection des données à la faveur de la transposition de la directive 95/46/CE du 24 octobre 1995. Le décret d'application de la loi n° 78-17 du 6 janvier 1978[4] encadre juridiquement la désignation du CIL, ses missions et les modalités pour mettre un terme ses fonctions.
Si le DPO devient dans certains cas obligatoire, ce n'est pas le cas du CIL, dont la désignation est toujours facultative, tant pour les entités publiques que privées. Dès lors, certaines entités se sont abstenues de désigner officiellement un CIL auprès de la Cnil, tout en confiant à un collaborateur dédié, clairement identifié, certaines missions ayant trait à cette fonction (cartographie et analyse des traitements, mise en oeuvre de contrôles des traitements, sensibilisations et accompagnement des demandes d'autorisation auprès de l'autorité de contrôle le cas échéant, etc.). Il a ainsi pu être fait référence à ce collaborateur comme « le faisant fonction de » CIL.
Le CIL - ou le faisant fonction - a pour mission principale de veiller au respect de la réglementation applicable en matière de protection des données à caractère personnel. Dans cette perspective, les CIL et/ou les faisant fonction ont pu - en fonction des ressources qui leur ont été attribuées - d'ores et déjà instaurer un cadre, plus ou moins formalisé, visant à garantir la conformité de leur entité à cette réglementation. Ce cadre peut être constitué d'un ensemble de mesures diverses, à l'instar d'une procédure interne tendant à vérifier la conformité des traitements avant leur mise en oeuvre ainsi qu'à tenir une liste à jour des traitements, une politique interne de protection des données ou encore un mode opératoire précis pour le traitement des demandes des personnes concernées.
Aussi, toute entité publique ou privée ayant entamé un processus d'intégration des exigences du RGPD pourra utilement capitaliser sur ces mesures. En effet, le Règlement n'a pas vocation à imposer aux entités traitant des données à caractère personnel, à quelque titre que ce soit (qu'elles agissent en qualité de responsable du traitement, de sous-traitant ou de responsables conjoints), de faire « table rase » de leur conformité existante en matière de protection des données, mais bien de faire évoluer ce dispositif vers un « niveau élevé ».
Au-delà des mesures qu'il a mises en place ou auxquelles il a contribué et sur lesquelles nous reviendrons, il importe de capitaliser sur les connaissances acquises par le CIL dans le cadre de l'exercice de ses missions. Outre une connaissance des principes fondamentaux de la protection des données à caractère personnel, lesquels perdurent avec le RGPD, le CIL dispose d'une connaissance précieuse du domaine d'activité, des processus et de la culture interne de l'entité qui l'a désignée.
La période transitoire offre donc aux CIL une occasion d'exploiter et de valoriser leur travail et leurs compétences.
Pour les entreprises ne disposant pas aujourd'hui de CIL ni de collaborateur faisant fonction, identifier et impliquer dès à présent le futur DPO constitue une des actions prioritaires dans le processus de mise en conformité avec le Règlement.
Le statut de DPO n'existe techniquement pas encore : toute désignation en tant que telle ne prendra effet qu'à compter du 25 mai prochain. Aussi, toute identification officielle et juridique passe encore, à ce jour, par le statut de CIL, véritable maître d'oeuvre de la transition.
Savoir capitaliser sur les outils de conformité existants
Dans le cadre de la période transitoire, les entités ont tout intérêt à capitaliser et à s'appuyer sur les outils déjà en place en leur sein.
Cette capitalisation s'illustre lors de la phase d'audit des traitements de données à caractère personnel. Le registre élaboré et tenu par le CIL peut être mis à profit afin d'analyser la conformité des traitements qui y sont portés et d'établir un plan d'actions en vue d'une mise en conformité avec le RGPD. Alternativement, ce registre peut aussi être utilisé comme point de comparaison, une fois la cartographie des traitements réalisée, afin d'identifier les écarts entre les traitements de données à caractère personnel portés à la connaissance du CIL et ceux effectivement mis en oeuvre.
Par ailleurs, l'organisation interne en matière de protection des données mise en oeuvre par le CIL, adaptée à la taille et aux besoins de son entité, peut être valorisée. Ainsi, les réseaux, qualifiés souvent de « réseaux informatiques et libertés » (RIL) et constitués de personnes relais identifiées dans les différentes directions, pourront prendre une part active dans les audits et actions de mise en conformité. Ce réseau sera à même d'accompagner ensuite efficacement les directions métiers lors du suivi du plan d'actions arrêté. Ils exercent enfin un rôle clé dans la sensibilisation des collaborateurs amenés à traiter des données à caractère personnel.
Les procédures d'analyse des traitements de données à caractère personnel déjà en oeuvre peuvent aussi être utilisées en les adaptant aux exigences du RGPD. À titre d'illustration, dans certaines entités, les échanges avec le CIL sont formalisés au moyen d'une fiche de recueil d'informations, mise à disposition des équipes métiers. C'est alors à partir des informations recueillies dans le cadre de cette fiche que le CIL formule une première analyse du traitement. Dans la perspective du Règlement, il conviendra de faire évoluer les éléments recueillis dans cette fiche afin d'y faire figurer les éléments permettant au futur DPO d'analyser la conformité au regard du nouveau cadre européen et de déterminer en particulier si une analyse d'impact doit être réalisée. Cette évolution du contenu des supports d'information s'accompagnera également d'une modification et, sans nul doute, d'une formalisation renforcée des modalités d'échanges en internes entre le futur DPO et les équipes métiers, dans la perspective du principe de responsabilisation (« accountability ») auxquels les organismes seront soumis.
Plus généralement, les procédures et guides élaborés à l'initiative ou avec la participation du CIL serviront de fond documentaire à la mise en conformité au Règlement général sur la protection des données. Ces procédures et guides peuvent avoir trait notamment aux traitements dans la sphère des ressources humaines, à l'information et à la gestion du consentement des clients et des prospects, à la politique de protection des données internes ou à destination du public, etc.
Il en va de même de la politique contractuelle en matière de protection des données à caractère personnel définie par le CIL ou en collaboration avec ce dernier. Les différentes clauses élaborées constituent un socle pertinent, qu'il conviendra de faire évoluer pour intégrer l'hypothèse de la responsabilité conjointe ainsi que les exigences nouvelles du Règlement général sur la protection des données (notamment la description détaillée des instructions afférentes au traitement confié au sous-traitant).
En conclusion, dans la mesure où le Règlement général sur la protection des données maintient les principes fondamentaux de la protection des données que nous connaissions déjà à l'ère de la directive 95/46/CE du 24 octobre 1995, les entités ayant désigné un CIL ou disposant d'un acteur dédié faisant fonction de CIL doivent s'inscrire dans une continuité certaine et s'appuyer sur le travail réalisé par ce dernier dans leurs actions de mise en conformité avec le RGPD.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
203 of 500 DOCUMENTS
Le Figaro Online
mardi 19 décembre 2017 07:28 PM GMT
La Cnil accuse WhatsApp d'obliger ses utilisateurs à transmettre leurs données à Facebook
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 1039 mots
ENCART: La Commission nationale de l'informatique et des libertés met en demeure WhatsApp de se conformer à la loi française pour procéder au transfert des données de ses utilisateurs à Facebook.
Si Facebook n'en fait qu'à sa tête, la Commission nationale de l'informatique et des libertés (Cnil) se fâche. L'autorité française chargée de la régulation des données personnelles vient de rappeler à l'ordre WhatsApp, rachetée en 2014 par Facebook. Elle demande à l'entreprise et à sa maison mère de se conformer à la loi française dans un délai de trois mois, en ce qui concerne la transmission des données entre l'application et le géant du Web.
La Présidente et les deux vice-présidents de la Cnil ont «décidé de rendre publique cette mise en demeure afin d'assurer le plus haut niveau de transparence sur la transmission massive de données d'un grand nombre d'utilisateurs de WhatsApp vers Facebook Inc. et ainsi d'alerter sur la nécessité de mettre les personnes concernées en position de garder le contrôle de leurs données», explique le régulateur dans un communiqué que l'on sent un brin courroucé.
«La vie privée est très importante aux yeux de WhatsApp, fait savoir un porte-parole de la société. C'est pourquoi nous collectons très peu de données, et chiffrons chaque message. Nous allons continuer à travailler avec la Cnil pour nous assurer que les utilisateurs comprennent quelles informations nous collectons et comment elles sont utilisées. Nous tenons à résoudre les différends et les préoccupations conflictuelles soulevées par les autorités de protection de données personnelles européennes».
Facebook jugé peu coopératif
Facebook et WhatsApp se sont mis à dos l'ensemble des régulateurs de données européens (le G29) ainsi que la Commission européenne depuis qu'elles ont décidé de faire pot commun des données personnelles de leurs utilisateurs. Facebook avait pourtant garanti qu'elle ne pourrait pas recouper ses informations avec celles de l'application WhatsApp lors de son rachat en 2014. S'estimant trompée, Bruxelles a sanctionnéFacebook d'une amende de 110 millions d'euros, tandis que plusieurs enquêtes ont été lancées par le groupement des Cnil européennes, le G29, afin de cerner ce qui était véritablement fait de ces données. L'un d'entre elles, menée par la Cnil, a permis de constater que WhatsApp ne respectait pas la loi française en matière de protection des données, malgré plusieurs rappels à l'ordre du régulateur.
La Cnil affirme ainsi avoir demandé à plusieurs reprises à la société WhatsApp de lui communiquer des échantillons de données transmises à Facebook. «La société a indiqué ne pas être en mesure de fournir ces informations dans la mesure où, étant installée aux États-Unis, elle s'estime uniquement soumise à la législation de ce pays» s'agace le régulateur français. Selon l'article 21 de la loi Informatique et Libertés, Facebook est pourtant obligé de coopérer avec l'autorité pour prouver qu'il est en conformité sur la transmission de données de citoyens français. Des investigations ont permis à la Cnil de déterminer que les données des 10 millions d'utilisateurs français de Whatsapp avaient bien été envoyées à Facebook à des fins de sécurité et de «business intelligence», mais non à des fins publicitaires. Des motifs «dont les contours restent flous», estime Isabelle Falque Pierrotin au micro de BFM Business.
Outre cette absence de coopération, la Cnil a constaté lors de son enquête plusieurs violations à la loi portant sur le consentement des utilisateurs au partage de leurs données. Près d'un tiers des utilisateurs de WhatsApp ont pourtant affirmé qu'ils ne souhaitaient pas que leurs données soientutilisées à des fins publicitaires par Facebook, rappelle Isabelle Falque Pierrotin dans son interview à BFM Business. Selon la loi, «les utilisateurs doivent pouvoir s'opposer à une finalité (...) tout en continuant d'utiliser l'application» . WhatsApp oblige pourtant ses utilisateurs à partager leurs données à Facebook sous peine de ne plus pouvoir se servir de l'application.
Autre motif reproché à WhatsApp: l'absence de clarté et de légitimité dans la finalité du partage des données. Facebook a affirmé recueillir les données à des fins de sécurité, de ciblage publicitaire ou encore de «business intelligence» (analyse de données) mais pour la Cnil, «la société WhatsApp ne peut se prévaloir de son intérêt légitime à transférer massivement des données à la société Facebook Inc. dans la mesure où cette transmission ne s'accompagne pas des garanties suffisantes permettant de préserver l'intérêt ou les droits et libertés fondamentaux des utilisateurs». En Europe, la vie privée est ainsi considérée comme un droit inaliénable et non cessible contre l'accès à un service.
Un précédent avec Google
Cette mise en demeure n'est pas une première. La Cnil s'y était déjà livrée avec WhatsApp en février 2016, pour les mêmes motifs. Elle avait également mis en demeure Google en 2013, suite au refus de l'entreprise de procéder au déréférencement sollicité par des citoyens européens. En 2016, cette procédure avait fini par aboutir à unesanction de 100.000 euros contre Google. Si la société ne se conforme pas à la mise en demeure dans le délai imparti,» la Présidente pourra désigner un rapporteur qui proposera le cas échéant à la formation restreinte de la Cnil, chargée de réprimer les manquements à la loi, de prononcer une sanction», explique le régulateur.
Le régulateur peut actuellement prononcer une peine allant jusqu'à une amende de 3 millions d'euros, soit un montant dérisoire pour Facebook. Mais la Cnil préside aussi le groupement des régulateurs de données européens, avec lesquels elle mène une action coordonnée sur le cas de Facebook. Son homologue belge, la Commission de la protection de la vie privée (CPVP) affronte depuis octobre Facebook au tribunal de première instance de Bruxelles car elle l'accuse de récolter illégalement des informations sur les non-membres de sa communauté. L'entreprise fait également l'objet deplusieurs enquêtes de la part d'autorités de la concurrence en Europe. «Demain, le nouveau cadre juridique européen changera la relation entre l'Europe et les Etats-Unis», ajoute encore Isabelle Falque Pierrotin auprès de BFM Business. Le règlement général pour la protection des données (RGPD) obligera Facebook à répondre aux exigences de l'Europe s'il souhaite accéder à son marché de 500 millions d'utilisateurs.
DATE-CHARGEMENT: 19 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
204 of 500 DOCUMENTS
Challenges.fr
lundi 18 décembre 2017 7:00 PM GMT
Données: pourquoi la Cnil déclare la guerre à WhatsApp
AUTEUR: Adrien Schwyter
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 873 mots
ENCART: La Commission nationale de linformatique et des libertés (Cnil) a mis en demeure la messagerie électronique WhatsApp de se conformer à la loi pour transmettre des données de ses utilisateurs à sa maison-mère Facebook. WhatsApp risque une sanction de 150.000 euros.
La Cnil naime pas trop quon se moque delle (Commission nationale de linformatique et des libertés). Dans le ton feutré du gendarme de lutilisation des données personnelles, cela donne une mise en demeure de la messagerie électronique WhatsApp de se conformer rapidement à la loi (1 mois) afin de bien vouloir lui transmettre les données de ses utilisateurs quelle envoie à sa maison-mère (Facebook).
Lentreprise fondée par Marc Zuckerberg avait racheté en 2014 la messagerie cryptée. Or, WhatsApp a fait évoluer ses conditions dutilisation afin de permettre justement ce transfert de données. Alors que la Cnil a sollicité à plusieurs reprises dobtenir un échantillon des données des utilisateurs français transmis à Facebook, WhatsApp na pas voulu fournir ces informations, arguant que, dans la mesure où lentreprise est installée aux États-Unis, elle se considère uniquement redevable de la législation américaine selon le régulateur des données.
"Cest un argument de moins en moins recevable juge Julien Le Clainche, avocat en nouvelles technologies. Il y a eu une affaire Yahoo où le site vendait des objets nazis en France. On a menacé le site de le poursuivre pour apologie des crimes de guerre. Ils disaient quaux États-Unis, la liberté dexpression leur permettait de faire cela. Puis on a trouvé un arrangement technique. Depuis la jurisprudence a évolué et la Cour de justice de lUnion européenne considère quà partir du moment où la société a un établissement dans lUE et traite de données de citoyens européens, la loi des pays européens sapplique. Limpérialisme juridique de WhatsApp ne sapplique donc pas."
Agacement de la Cnil
Les mots sont feutrés mais ils disent tout lagacement de la Cnil face à cette fin de non recevoir. "La Cnil na donc pas été en mesure dexaminer pleinement la conformité des traitements mis en oeuvre par la société à la Loi informatique et libertés" détaille le communiqué de linstance. Dans les faits, le régulateur des données demande à lentreprise de recueillir explicitement le consentement des 10 millions dutilisateurs français et de leur permettre surtout de sy opposer en pouvant toujours utiliser le service.
Si WhatsApp transmet les informations, elle ne risque aucune sanction. Si elle persiste dans sa position, la Cnil pourra ouvrir une procédure de sanction. WhatsApp risque une sanction maximale de 150.000 euros dans laffaire. Une paille vu les résultats de Facebook dans le monde (4,71 milliards de dollars de profit au troisième trimestre 2017). Avec la nouvelle réglementation européenne sur la protection des données personnelles (RGPD) qui entrera en vigueur en mai 2018, les sanctions vont être sensiblement augmentées: 20 millions deuros maximums ou 4% du chiffre daffaires annuel.
"Pour que le consentement soit valable au sens du RGPD, il faut quil soit nécessaire à lexécution du service décrypte Julien Le Clainche. Or lorsque lon donne son consentement à WhatsApp, cest en réalité pour 3 finalités. La seule nécessaire et légitime est dassurer la sécurité du service, cest la première. La seconde concernant le ciblage publicitaire pose problème car dans WhatsApp, on doit consentir aux 3 finalités dun coup. Enfin celle sur lévaluation et lamélioration des services renvoie elle à une catégorie un peu fourre tout".
Risque dimage
"Cette mise en demeure traduit la volonté des Cnil en Europe dimposer aux GAFA un devoir dinformation vis-à-vis des consommateurs sur ce quon fait de leurs données personnelles et à qui on les transmet", précise Fabien Honorat, avocat associé chez Péchenard & Associés. Et si pour linstant le montant de lamende quencourt WhatsApp paraît dérisoire, les régulateurs européens tentent de mener leur bataille sur le plan de limage de marque. "Il ne faut pas négliger laspect mauvaise publicité pour les entreprises de la Tech, poursuit Fabien Honorat. Ils vont essayer à lavenir le plus possible de faire sortir ces affaires publiquement, comme avec Uber il y a quelques semaines".
Et les consommateurs dans tout cela? Vont-ils arrêter dutiliser le service de messagerie car il met en cause le respect de leurs données personnelles? Peu probable que les consommateurs décident massivement un boycott dun service leader dans le domaine. "Je ne suis pas persuadé que les utilisateurs vont, à la suite de ce communiqué de la Cnil, supprimer Whatsapp de leurs smartphones pronostique lavocat. Pourtant le sujet du contrôle des données personnelles concernent tous les consommateurs et est un sujet majeur".
Amende de 110 millions deuros à Facebook
Techniquement, le respect des demandes de la Cnil risque de ne pas poser de problèmes insurmontables. De nombreux éditeurs de logiciels demandent lors de linstallation de ceux-ci, que les utilisateurs acceptent la transmission des données de bug ou dutilisation du logiciel aux éditeurs. En cas de refus, il est tout de même possible dutiliser le logiciel.
La Cnil est régulièrement en conflit avec les géants américains du net, notamment Facebook et Google. Elle rappelle dans sa délibération que la Commission européenne a condamné Facebook en mai à une amende de 110 millions deuros pour avoir fourni des "renseignements dénaturés" concernant lacquisition de WhatsApp. Un mémo à bon entendeur.
DATE-CHARGEMENT: December 19, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2017 Challenges
tous droits réservés
205 of 500 DOCUMENTS
Luxemburger Wort.lu (French)
lundi 18 décembre 2017 06:00 GMT
«Il faut trouver l'équilibre»
RUBRIQUE: ECONOMIE
LONGUEUR: 1396 mots
Interview: Pierre Sorlut
Tine A. Larsen préside la Commission nationale pour la protection des données (CNPD) depuis novembre 2014. La bonne mise en oeuvre du règlement général sur la protection des données (RGPD) est la priorité du moment.
Madame Larsen, comment le RGPD va-t-il rendre au citoyen-consommateur le contrôle de ses données?
Par le renforcement de ses droits. Le droit à l'information ou le droit à l'accès existent déjà dans l'ancienne directive, mais sont plus prononcés dans le règlement général de protection des données. Mais, surtout, les sociétés devront expressément obtenir le consentement du consommateur pour traiter ses données. Les entreprises doivent démontrer qu'elles l'ont bien obtenu. Il n'est plus question de parler d'accord implicite. Puis il y a de nouveaux droits comme le droit à la portabilité.
C'est-à-dire?
Par exemple, si vous voulez changer d'opérateur téléphonique, vous pouvez demander à ce que votre prestataire vous remette toutes les données qu'il a sur vous et les remette au suivant. C'est par exemple la liste de vos contacts, mais aussi les numéros appelés... dans la mesure où l'opérateur les a stockés. Si vous avez un compte Facebook ou Whatsapp, tout cela est gardé assez longtemps chez l'opérateur et vous pouvez leur demander de fournir les données. La portabilité est aussi très importante dans le milieu bancaire. Grâce au RGPD, il est possible de transférer les informations sur un compte et ses transactions d'un établissement à l'autre.
Prévoyez-vous une mise en oeuvre chaotique?
Je ne pense pas. Le défi résidera dans la définition du format permettant la portabilité. L'industrie devra développer ses standards. Comme toute régulation, le RGPD implique des coûts et des efforts. On ne part pas non plus de rien. On avait la directive, la loi luxembourgeoise de 2002 sur la protection des données.
Des textes obsolètes...
C'est ce qu'on dit, mais on a gardé les mêmes droits. On y a ajouté les droits à la portabilité et à l'effacement (ou à l'oubli, ndlr.). Si les sociétés s'étaient déjà préparées à ces textes, alors elles ont de bonnes bases. Ce qui change vraiment, c'est que les sociétés deviennent responsables.
Comment cela se passe-t-il avec le RGPD?
Jusqu'à présent, les autorités de contrôle surveillaient a priori ce que faisaient les entreprises. Elles nous envoyaient des notifications et des demandes d'autorisation. La CNPD vérifiait. Maintenant on refoule cette responsabilité vers les sociétés. Elles doivent elles-mêmes contrôler. Elles doivent analyser leurs traitements de données, tenir compte du principe de minimisation du traitement, veiller à la qualité des données, respecter la base légale pour leur collecte et le partage, etc.. Tout ce que nous vérifiions avant pour elles leur revient dorénavant.
Est-ce une simplification pour les entreprises ou pour le régulateur?
Pour les entreprises. Grâce au RGPD, elles ont la possibilité de s'organiser dans leur conformité. Elles ne répondent plus à l'obligation d'introduire une demande d'autorisation et d'attendre qu'on l'analyse. Parfois cela prend beaucoup de temps. A partir de mai prochain, si une start-up est prête à aller sur le marché et qu'elle est conforme au regard de la protection des données, elle n'a plus besoin d'attendre.
Pour les entreprises c'est nouveau et lourd. La problématique leur passait au-dessus jusque-là...
Oui et non. Les charges du RGPD ne sont pas proportionnelles à la taille des entreprises, mais au risque porté par les données qu'elles traitent. Imaginons une application qui permet de surveiller les enfants, mais que l'entreprise qui l'opère - et qui compte très peu d'employés - garde toutes les informations, que les données ne sont pas sécurisées et que cette app' est largement diffusée au Luxembourg. Je pense que cette société doit se rendre compte de ce qu'elle fait. Il faut mesurer le risque, savoir quelles données sont conservées, à quoi elles sont destinées et ce qu'il faut faire en cas de faille de sécurité.
Et a contrario...
Une très grande boulangerie peut avoir des données sur ses employés et sur ses clients. Elles ne traitent pas les données de ses clients comme Whatsapp ou Facebook. Elle n'a pas la même charge qu'une société qui fait du commerce de données son métier. Les sociétés doivent mesurer l'importance des données qu'elles ont entre leurs mains et générer une relation de confiance avec le client. Le commerce n'est envisageable que dans le cadre d'une telle relation.
C'est un énorme défi, ne serait-ce qu'en ressources humaines, pour les petites sociétés?
Pour reprendre notre exemple de boulangerie, celle-ci peut dire: 'Moi je fais du pain, je ne suis pas spécialisée en microbiologie ou en hygiène de la santé'. Elle doit néanmoins suivre les normes en matière de sécurité et de propreté. La logique demeure pour la protection des données avec le RGPD. Toutes les sociétés doivent faire un inventaire de tout ce qui leur appartient, des biens matériels ou immatériels. Le registre des traitements est un inventaire des données qui apportent de la richesse à l'entreprise.
Est-ce que le RGPD justement ne va pas nuire à la liquidité des données qu'on appelle parfois le pétrole du 21ème siècle?
Au contraire. Les start-up peuvent intégrer les concepts de «privacy by design» ou «privacy by default» dès la conception du traitement. Ce nouveau règlement est un avantage compétitif, elles utiliseront le cas échéant la relation de confiance avec le consommateur comme un levier commercial. Ceux qui ne respecteront pas les règles, en paieront le prix à la fin, éventuellement une sanction.
Elle peut s'avérer significative, jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires?
Oui mais pas seulement. Nous pouvons aussi prononcer des avertissements ou des ordres correctifs. Une fois publiés, il vont affecter la réputation de la société. Mais nous cherchons d'abord à sensibiliser et à éduquer.
Quelle posture adopterez-vous les premiers mois après le 25 mai?
Nous sommes déjà beaucoup sur le terrain pour sensibiliser les sociétés. Beaucoup se rendent compte qu'elles sont concernées, la plupart par la gestion des ressources humaines. Un magasin qui vend des journaux n'aura que les données relatives aux employés à gérer. Il n'a pas l'obligation de désigner un responsable à la protection des données ou d'établir un registre de traitement. Juste, et c'est une question de bon sens, il ne doit ne pas publier les informations personnelles sur ses salariés.
Le volume de travail sera conséquent quoi qu'il arrive...
On ne peut pas le quantifier, mais on doit donner au RGPD une place dans l'entreprise au quotidien. Cela varie en fonction des traitements que la société opère.
La CNPD va-t-elle faire preuve d'indulgence au début? Allez-vous appliquer un droit à l'erreur?
Nous invitons les entreprises à être prêtes en mai. Droit à l'erreur? Nul n'est censé ignorer la loi. Nous avons un rôle de supervision. Mais nous préférons la carotte au bâton. Nous ne voulons pas frapper à tout prix. Il ne s'agit pas de sanctionner sévèrement pour de toutes petites infractions. Nous ne voulons pas prononcer de lourdes amendes pour marquer le début d'une nouvelle ère. S'il y a des violations graves qui amènent des dommages aux personnes, alors oui il faut qu'on intervienne.
Est-ce que philosophiquement la CNPD sera dure ou adoptera-t-elle une position ouverte pour les entreprises?
Le grand défi du RGPD est de trouver l'équilibre entre la libre circulation des données et les droits fondamentaux des individus. Nous avons une très grande responsabilité dans le bon fonctionnement de l'économie, mais nous ne prenons pas de décisions sur un coup de tête. C'est juridiquement souvent très compliqué. On doit aussi évaluer l'approche des autres pays. Nous nous inspirons de la France et de l'Allemagne où règnent des cultures tout à fait différentes. Il nous faut concilier.
Quel impact a le RGPD sur l'organisation de la CNPD?
C'est une nouvelle façon de travailler. Nous nous dotons d'un nouvel organigramme. Cela va faire plus de personnel. Il y a trois ans nous étions 15. D'ici la fin de l'année nous serons 25. Fin de l'année prochaine nous serons 35. Il nous faudrait 49 postes pour fonctionner vraiment bien. Mais comme on ne mesure pas encore l'impact de RGPD, on ne va pas réclamer tous ces postes tout de suite. De deux millions d'euros aujourd'hui, le budget passera à 4,5 millions.
DATE-CHARGEMENT: December 18, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Luxemburger Wort
Tous droits réservés
206 of 500 DOCUMENTS
Acteurs publics
15 décembre 2017
La Cnil exhorte l'humain à garder la main sur les algorithmes
RUBRIQUE: ACTUALITES
LONGUEUR: 915 mots
Puisque les algorithmes sont partout, ils sont l'affaire de tous. Et s'ils sont l'affaire de tous, il n'est pas question de les laisser régir la vie des hommes. Plus qu'au syllogisme, l'avis de la Commission nationale informatique et libertés (Cnil) sur les enjeux éthiques des algorithmes et de l'intelligence artificielle publié le 15 décembre emprunte davantage au traité politique. Comme si l'heure était à un nouveau contrat social, passé avec des machines cette fois.
Liberté, égalité et volonté générale : à l'heure de l'intelligence artificielle (IA), les principes édictés par Jean-Jacques Rousseau prennent un relief nouveau deux cent cinquante ans plus tard, éclairés par la Cnil à l'issue de près d'un an de débats publics organisés dans toute la France.
Un grand mythe
"L'intelligence artificielle est le grand mythe de notre temps, analyse Isabelle Falque-Pierrotin, présidente de la Cnil. L'un annonce la destruction en masse de nos emplois, un autre l'émergence apocalyptique d'une conscience robotique hostile, un troisième la ruine d'une Europe écrasée par la concurrence." À l'inverse, "d'autres encore nourrissent plutôt le rêve d'un monde sur mesure, d'un nouvel Âge d'or d'où toute tâche ingrate ou répétitive serait bannie et déléguée à des machines ; un Eden où des outils infaillibles auraient éradiqué la maladie et le crime, voire le conflit politique, en un mot aboli le mal".
Afin que "la technique" ne s'arroge pas définitivement cette "puissance de projection dans l'avenir qui fait parfois défaut à nos imaginaires politiques", Isabelle Falque-Pierrotin forme le voeu que ce rapport de 80 pages vienne participer à l'élaboration d'un modèle français de gouvernance éthique de l'intelligence artificielle.
6 recommandations
Le débat public mené par la Commission entre janvier et octobre a permis d'identifier 6 grandes problématiques éthiques touchant à la loyauté, la transparence, l'intelligibilité, la vigilance ou encore la responsabilité, auxquelles la Cnil propose de répondre par 6 recommandations.
En premier lieu, il est indispensable de "former à l'éthique tous les maillons de la chaîne algorithmique", depuis les concepteurs des algorithmes jusqu'aux utilisateurs citoyens, en passant par les professionnels qui les déploient. Pour ce faire, la Cnil invite à "rendre les systèmes algorithmiques compréhensibles en renforçant les droits existants et en organisant la médiation avec les utilisateurs".
La Cnil veut ainsi rien moins que mettre "le travail sur le design des systèmes algorithmiques au service de la liberté humaine", en promouvant leur "jouabilité", qui repose sur le fait que chacun puisse tester un algorithme avant de l'utiliser. "Toucher et manipuler est la clé d'une compréhension directe, bien davantage sans doute que l'accès à un code source indéchiffrable pour la grande majorité d'entre nous", explique le rapport.
Plate-forme nationale d'audit
Côté gouvernance, la Commission préconise de constituer "une plate-forme nationale d'audit des algorithmes" car il est "essentiel que la puissance publique se donne autant que possible les moyens d'ouvrir le code source d'algorithmes déterministes". Or, alerte le rapport, "ces moyens s'avèrent de plus en plus insuffisants face à un besoin croissant [et] la Cnil se trouve ainsi désormais sollicitée par d'autres régulateurs sectoriels dépourvus de toute capacité d'audit".
Opérationnellement, la mise en oeuvre de ces audits pourrait être assurée par "un corps public d'experts des algorithmes qui contrôleraient et testeraient les algorithmes (en vérifiant par exemple qu'ils n'opèrent pas de discrimination)". Une autre solution pourrait consister, notamment face à l'ampleur du secteur à contrôler, en une homologation par la puissance publique des entreprises d'audit privées sur la base d'un référentiel, propose la Cnil.
Enfin, le rapport plaide pour le lancement d'une "grande cause nationale participative pour dynamiser la recherche en IA". Alors que la capacité à disposer de très vastes quantités de données constitue l'un des fondements du développement d'une recherche en IA, la Cnil se veut optimiste : "Contrairement à une image trop souvent répandue, les législations française et européenne proposent un cadre suffisamment ouvert pour soutenir une recherche et une politique industrielle ambitieuses en la matière."
Puissance publique moteur
À cet égard, estime-t-elle, la création par le Règlement européen de protection des données (RGPD) d'un "droit à la portabilité", qui permet aux personnes de récupérer leurs données conservées par des acteurs privés, "ouvre de grandes opportunités encore largement inconnues". La Cnil imagine déjà une puissance publique jouant "un rôle moteur" en lançant "un grand projet de recherche fondé sur des données issues de la contribution de citoyens exerçant leur droit à la portabilité auprès des acteurs privés et rebasculant leurs données pour un projet au service d'une cause d'intérêt général".
Quant aux entreprises déployant "des algorithmes aux impacts significatifs", au premier rang desquelles les Gafam (les géants américains du Web), elles devraient se doter de "comités d'éthique", avance la Cnil. Laquelle a conscience du caractère hautement sensible de l'affaire... "La composition et les modalités d'intervention de tels comités constituent un point essentiel. Publicité ou non des comptes rendus, publicité ou non de la composition du comité, degré éventuel d'indépendance : la palette des options possibles est large."
DATE-CHARGEMENT: 15 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Société d'édition publique
Tous droits resérvés
207 of 500 DOCUMENTS
La Dépêche du Midi
vendredi décembre 15 2017
GÉNÉRAL EDITION
« L'enjeu des données personnelles derrière ce règlement européen »
RUBRIQUE: ACTUALITÉ; Secours TARN ; Pg. 6 N° 22042
LONGUEUR: 606 mots
Une autorisation parentale pour les mineurs de moins de 16 ans désireux de s'inscrire sur les réseaux sociaux. Est-ce une bonne chose ?
Dans un premier temps, il faut rappeler que ce n'est pas une initiative de la ministre. Aujourd'hui elle s'en empare, tant mieux, mais il s'agit en fait de la retranscription du RGPD (Règlement européen sur la protection des données personnelles) qui doit entrer en vigueur le 25 mai 2018. Un règlement est beaucoup plus fort qu'une directive car il s'impose à tous sans discussion. La ministre ne fait aujourd'hui que retranscrire une volonté européenne qui a été votée.
Juridiquement ce RGPD évoque la notion de portabilité des données personnelles : c'est-à-dire que chacun devient propriétaire de ses données. Il a le droit d'en disposer comme bon lui semble et de pouvoir les déplacer d'une plateforme à une autre. Derrière cela, on voit bien que nous devons accorder le consentement au traitement de nos données pour ne serait-ce qu'en assurer la portabilité et l'exploitation par des tiers. C'est cette notion de consentement qui impose une réglementation pour les mineurs. Juridiquement parlant, la France n'est pas en avance par rapport à d'autres pays européens et cela s'impose à nous.
Est-ce que cela sera efficace ?
Ce n'est pas le problème de la ministre. Le projet de règlement dit que la charge de la preuve du consentement va incomber aux responsables du traitement de l'information. En gros, l'État se décharge complètement du mode de contrôle en disant aux entreprises du web : il vous appartient de démontrer que vous avez eu le consentement explicite.
Est-ce réalisable en pratique ?
Sur un plan purement communicationnel, lorsqu'on est dans une pratique sociale sur les réseaux, comme le sont les ados, les jeunes, on a un effet d'entraînement qui est très important. La charge sociale que représente le fait d'y être ou de ne pas y être est tellement importante, voire discriminante, dans les cours d'école qu'il va y avoir une pression très forte sur les parents pour qu'ils donnent leur accord à leurs enfants.
Cela ne va pas au fond changer grand-chose. Mais juridiquement, nous aurons des moyens plus importants de pouvoir contraindre ou sanctionner des entreprises qui n'auront pas joué le jeu. Sur une utilisation abusive des données personnelles, la CNIL aujourd'hui va avoir les moyens de pouvoir sanctionner une entreprise à hauteur de 4 % de son chiffre d'affaires mondial. 4 % de 90 milliards pour le cas de Google, ca change la donne.
Les géants du net vont toutefois continuer à cibler les jeunes. Facebook a lancé dernièrement une messagerie spécifique pour eux.
Si la capitalisation boursière de Google est d'environ 600-650 milliards d'euros, c'est parce que les investisseurs croient en la promesse économique à venir de l'exploitation des données personnelles. Le marché de ces données est en train de se structurer tandis que l'Union européenne vit dans une schizophrénie. D'un côté, elle dit qu'il faut protéger les citoyens et en même temps d'un autre côté, elle veut mettre en place le marché de la donnée personnelle. C'était le fameux sommet de l'UE sur le numérique, à Tallinn en septembre dernier, qui a lancé sur les fonts baptismaux l'avènement d'un marché européen de la donnée personnelle. On est en permanence dans cette ambivalence. L'idée est de créer les conditions d'une confiance : le marché des données n'a de sens que si les utilisateurs ont confiance dans le dispositif. Il n'en demeure pas mois que la marchandisation de la donnée personnelle est un événement en cours de développement exponentiel.
Propos recueillis par Philippe Rioux
@technomedia
DATE-CHARGEMENT: 14 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 La Dépêche du Midi
tous droits réservés
208 of 500 DOCUMENTS
La Dépêche du Midi
vendredi décembre 15 2017
GÉNÉRAL EDITION
« L'enjeu des données personnelles derrière ce règlement européen »
RUBRIQUE: ACTUALITÉ; Secours TARN ; Pg. 6 N° 22042
LONGUEUR: 606 mots
Une autorisation parentale pour les mineurs de moins de 16 ans désireux de s'inscrire sur les réseaux sociaux. Est-ce une bonne chose ?
Dans un premier temps, il faut rappeler que ce n'est pas une initiative de la ministre. Aujourd'hui elle s'en empare, tant mieux, mais il s'agit en fait de la retranscription du RGPD (Règlement européen sur la protection des données personnelles) qui doit entrer en vigueur le 25 mai 2018. Un règlement est beaucoup plus fort qu'une directive car il s'impose à tous sans discussion. La ministre ne fait aujourd'hui que retranscrire une volonté européenne qui a été votée.
Juridiquement ce RGPD évoque la notion de portabilité des données personnelles : c'est-à-dire que chacun devient propriétaire de ses données. Il a le droit d'en disposer comme bon lui semble et de pouvoir les déplacer d'une plateforme à une autre. Derrière cela, on voit bien que nous devons accorder le consentement au traitement de nos données pour ne serait-ce qu'en assurer la portabilité et l'exploitation par des tiers. C'est cette notion de consentement qui impose une réglementation pour les mineurs. Juridiquement parlant, la France n'est pas en avance par rapport à d'autres pays européens et cela s'impose à nous.
Est-ce que cela sera efficace ?
Ce n'est pas le problème de la ministre. Le projet de règlement dit que la charge de la preuve du consentement va incomber aux responsables du traitement de l'information. En gros, l'État se décharge complètement du mode de contrôle en disant aux entreprises du web : il vous appartient de démontrer que vous avez eu le consentement explicite.
Est-ce réalisable en pratique ?
Sur un plan purement communicationnel, lorsqu'on est dans une pratique sociale sur les réseaux, comme le sont les ados, les jeunes, on a un effet d'entraînement qui est très important. La charge sociale que représente le fait d'y être ou de ne pas y être est tellement importante, voire discriminante, dans les cours d'école qu'il va y avoir une pression très forte sur les parents pour qu'ils donnent leur accord à leurs enfants.
Cela ne va pas au fond changer grand-chose. Mais juridiquement, nous aurons des moyens plus importants de pouvoir contraindre ou sanctionner des entreprises qui n'auront pas joué le jeu. Sur une utilisation abusive des données personnelles, la CNIL aujourd'hui va avoir les moyens de pouvoir sanctionner une entreprise à hauteur de 4 % de son chiffre d'affaires mondial. 4 % de 90 milliards pour le cas de Google, ca change la donne.
Les géants du net vont toutefois continuer à cibler les jeunes. Facebook a lancé dernièrement une messagerie spécifique pour eux.
Si la capitalisation boursière de Google est d'environ 600-650 milliards d'euros, c'est parce que les investisseurs croient en la promesse économique à venir de l'exploitation des données personnelles. Le marché de ces données est en train de se structurer tandis que l'Union européenne vit dans une schizophrénie. D'un côté, elle dit qu'il faut protéger les citoyens et en même temps d'un autre côté, elle veut mettre en place le marché de la donnée personnelle. C'était le fameux sommet de l'UE sur le numérique, à Tallinn en septembre dernier, qui a lancé sur les fonts baptismaux l'avènement d'un marché européen de la donnée personnelle. On est en permanence dans cette ambivalence. L'idée est de créer les conditions d'une confiance : le marché des données n'a de sens que si les utilisateurs ont confiance dans le dispositif. Il n'en demeure pas mois que la marchandisation de la donnée personnelle est un événement en cours de développement exponentiel.
Propos recueillis par Philippe Rioux
@technomedia
DATE-CHARGEMENT: 14 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 La Dépêche du Midi
tous droits réservés
209 of 500 DOCUMENTS
Le Figaro Online
vendredi 15 décembre 2017 10:59 AM GMT
Près de 500 clients de Cdiscount victimes d'une arnaque
AUTEUR: Hayat Gazzane; hgazzane@lefigaro.fr
RUBRIQUE: CONSOMMATION; Actu-Eco; Consommation
LONGUEUR: 652 mots
ENCART: VIDÉO - Des clients du site de e-commerce ont été victimes de mails frauduleux grâce auxquels des pirates ont pu dérober leurs coordonnées bancaires puis faire des achats en ligne. Le préjudice dépasse les 300.000 euros.
Le phishing a encore frappé. Cette arnaque, qui consiste à envoyer des mails frauduleux au nom d'entreprises connues pour récupérer des données bancaires, a massivement touché des clients de Cdiscount: 491 d'entre eux sont tombés dans le piège, confie une porte-parole au Figaro ce vendredi. Après avoir dérobé leurs numéros de cartes bancaires, les voleurs ont procédé à des achats sur le site de vente en ligne. Le montant du préjudice est élevé: près de 350.000 euros. «Il est important de préciser qu'il n'y a pas eu de piratage du site Cdiscount. Aucune faille de sécurité n'a été constatée. Ces clients ont été abusés par des mails frauduleux suite auxquels ils ont livré leurs coordonnées bancaires», tient à préciser cette porte-parole.
» LIRE AUSSI - Bercy pirate lui-même les e-mails de ses agents
Des arnaqueurs basés dans la Drôme
Les fraudes ont commencé l'an dernier, explique Cdiscount. Tablettes, appareils photo, téléphones portables, vêtements de marque, électroménager: les pirates ont multiplié les achats de valeur en utilisant les comptes des clients du site. Les produits étaient ensuite livrés dans des points-relais, tous situés dans la Drôme. En juin dernier, une enquête est ouverte, confiée aux policiers drômois. Une cinquantaine d'entre eux est mobilisée sur cette affaire selon France Bleu Drôme Ardèche. Mardi, sept personnes ont été interpellées à Bourg-lès-Valence et Loriol-sur-Drôme. Le Point indique que parmi eux se trouvent trois adolescents âgés de 13 à 18 ans. Ces derniers auraient affirmé travailler pour un commanditaire qui leur demandait de récupérer les colis en échange de 60 euros à chaque fois. Les enquêteurs qui travaillent sur cette piste cherchent aussi à savoir si les pirates n'ont pas sévi sur d'autres sites de vente en ligne.
En ce qui concerne Cdiscount, l'entreprise affirme avoir traité les plaintes «au cas par cas via un espace dédié sur [le] site», explique la porte-parole. «Concrètement, nous signalons les comptes comme usurpés, c'est-à-dire que nous demandons la réinitialisation du mot de passe et des coordonnées. Ensuite, nous demandons la fermeture des sites à l'origine de l'envoi des mails frauduleux. Pour information, Cdiscount fait fermer environ 30 de ces sites chaque mois», ajoute-t-elle. La plateforme a par ailleurs procédé au remboursement de ses clients. «Dans cette affaire, Cdiscount a été victime d'un préjudice financier concernant à la fois les remboursements et les frais de livraisons offerts lors des achats. Pour cette raison, nous avons déposé plainte en septembre et nous nous portons partie civile», précise l'entreprise.
Le système de sécurité de Cdiscount en règle
Alors que les achats de Noël battent leur plein, cette arnaque pourrait porter préjudice à l'image du site. Mais Cdiscount se veut rassurant: «Les clients peuvent continuer à faire leurs achats en toute sécurité sur notre site», affirme la porte-parole. La société de e-commerce, qui appartient au groupe Casino, assure que son système de sécurité est au point et qu'elle ne stocke aucune donnée bancaire. «Nous sommes même en avance sur le réglement européen général de protection des données personnelles (RGPD)», précise-t-elle. Le renforcement des mesures de sécurité fait suite à l'avertissement lancé à la société en octobre 2016 par la Cnil. À l'époque, cette dernière reprochait au site de vente de ne pas assurer la sécurité et la confidentialité des données personnelles de ses clients «en conservant en clair, dans un champ commentaire de sa base de données, les numéros de cartes bancaires». Un mauvais coup pour le site qui revendique plus de 11 millions de visiteurs uniques par mois et la place de deuxième site de commerce électronique le plus fréquenté de France. En mai dernier, la Cnil a finalement clôturé la mise en demeure qu'elle avait adressée à la plateforme de commerce en ligne, «la société s'étant depuis mise en conformité».
DATE-CHARGEMENT: 15 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
210 of 500 DOCUMENTS
Le Cercle
vendredi 15 décembre 2017
RGPD : en quoi le data protection officer et le commissaire aux comptes sont-ils les meilleurs alliés des entreprises ?
AUTEUR: Serge Yablonsky
RUBRIQUE: ARTICLE; Le Data Protection Officer : pas obligatoire, mais indispensable !
LONGUEUR: 971 mots
ENCART: Le Règlement Général Européen sur la Protection des Données Personnelles, entré en vigueur le 25 mai 2016, imposera à toutes les entreprises, y compris les ETI et les PME, de se mettre en conformité d'ici le 25 mai 2018.
Ce règlement concerne toute donnée qui permet d'identifier directement ou indirectement une personne : son nom, son courriel, un matricule, une adresse IP, une photo, une vidéo... et apporte aux citoyens européens une protection accrue, notamment en termes de consentement, d'accessibilité, de droit à l'oubli et de portabilité. Les personnes concernées ont désormais un droit d'accès et d'opposition à leurs données et peuvent en demander l'effacement, la rectification ou la récupération.
Si ce règlement vise une simplification des formalités administratives pour les entreprises, il impose néanmoins à ces dernières de démontrer leur bonne application du règlement, sous peine d'une sanction pouvant aller jusqu'à 4 % de leur chiffre d'affaires mondial ou 20 M€.
Une sanction exemplaire donc, qui implique pour l'entreprise de savoir s'entourer des bons professionnels pour les accompagner dans la maîtrise de leurs risques informatiques et leurs enjeux de mise en conformité. Parmi ceux-ci, le Data Protection Officer (DPO) en interne et le Commissaire aux Comptes, en tant que conseil extérieur, sont les meilleurs alliés de l'entreprise dans ses enjeux de protection des données personnelles.
Le Data Protection Officer : pas obligatoire, mais indispensable !
La première difficulté pour l'entreprise est de recenser les données personnelles gérées et traitées. Un simple fichier Excel avec les noms, téléphones et mails sur le portable d'un commercial est concerné. Au-delà de ce premier chantier, les entreprises devront pouvoir prouver leur conformité en tenant une documentation constituée du registre des traitements effectués, des analyses d'impact sur la vie privée réalisées pour les traitements à risques... Elles devront aussi notifier les violations de données personnelles dans les 72 heures à l'autorité de contrôle et dans les meilleurs délais à la personne concernée.
De nombreuses obligations, dans un contexte où le Correspondant Informatique et Libertés disparait en 2018 au profit du DPO. Ce dernier sera obligatoire dans 3 cas bien précis : pour les autorités et organismes publics ; pour les organismes dont l'activité de base nécessite un suivi régulier et systématique à grande échelle des personnes concernées, et ce, quelle que soit leur taille ; et enfin pour les personnes gérant des données de santé sensibles (hôpitaux, cliniques, laboratoires...).
Au-delà de ces cas, le Groupement des CNIL européennes et l'Association Data Protection Officers recommandent la nomination d'un DPO, véritable "chef d'orchestre" chargé d'informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés. Il lui appartient en effet de s'informer sur les nouvelles obligations, d'assister les décideurs sur les conséquences des traitements, d'en réaliser l'inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité... C'est ainsi le socle de la coordination à la fois en interne et en externe, agissant comme le point de contact de l'autorité de contrôle et des personnes concernées, avec qui il doit coopérer. C'est pourquoi, bien que non obligatoire, il reste indispensable au sein des entreprises.
Le Commissaire aux Comptes : l'atout majeur de l'entreprise en externe
Il est le principal allié du DPO, avec qui il collabore pour s'assurer que l'entreprise a mis en oeuvre une démarche responsable pour se mettre en conformité avec le RGPD. Compte tenu des sanctions très importantes, il doit s'assurer que ses clients prennent en compte ce nouveau règlement européen et aient préparé un plan de mise en conformité.
Ainsi, appuie le DPO dans l'identification et le recensement des données à caractère personnel de l'entreprise et l'aide à déterminer la pertinence de les conserver ou de les traiter. Il vérifie les modalités d'accès aux informations par les personnes concernées aux fins d'information, de rectification, d'effacement, de limitation de traitement ou de portabilité.
Il se pose également la question de la sécurité attachée à l'intégrité, à la confidentialité et à l'accès des données et se charge de vérifier que ces données ne sont pas des données sensibles et que les personnes concernées sont informées de la détention/du traitement des données et en ont donné leur accord. Dans la même lignée, il mène une analyse de risques et d'impact sur la vie privée de la détention ou du traitement de ces données et recommande de mettre à niveau si besoin la sécurité informatique. Il vérifie par ailleurs le bon signalement à la CNIL de toute disparition ou violation de ces données personnelles.
Le Commissaire aux Comptes peut aussi intervenir sur tous les documents nécessaires à la mise en place de la RGPD : code de conduite, dossier numérique RPD, registres et fiches à mettre à jour... Il se charge de vérifier que les contrats de travail, règlements intérieurs, contrats de vente... ont été révisés pour inclure une cause sur le consentement sur l'utilisation des données personnelles.
Enfin, il est de bon conseil dans l'analyser des échanges hors Europe de données personnelles en fonction de pays et de la finalité de traitement.
En conclusion, la CNIL dans ses 6 étapes de la conformité RGPD indique que la première est de désigner un pilote. Il est bien évident que ce pilote interne est le DPO qui, avec son réseau constitué d'experts dont le Commissaire aux Comptes est un axe central aux côtés des responsables SI et sécurité, responsables métier de traitement, assureurs, DRH..., permettra aux organismes de mettre en place et de maintenir leur conformité.
Co-auteurs :
Hélène Legras, Data Privacy Officer de New AREVA, vice-présidente de l'ADPO
Serge Yablonsky, Expert-comptable Commissaire aux Comptes et CISA, co-président du groupe de travail "Audit Informatique" de la Compagnie Régionale des Commissaires aux Comptes de Paris.
DATE-CHARGEMENT: 20 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
211 of 500 DOCUMENTS
Le Cercle
vendredi 15 décembre 2017
Intelligence artificielle : pourquoi il est nécessaire de réglementer
AUTEUR: Samy Fracso
RUBRIQUE: ARTICLE; Engouement certain
LONGUEUR: 1170 mots
ENCART: LE CERCLE/POINT DE VUE - Face aux possibles dérives de l'IA, il est essentiel de rédiger une réglementation spécifique à son application.
Apple a commercialisé dernièrement son nouveau smartphone : l'iPhone X. Parmi l'ensemble des nouveautés, le déverrouillage de son smartphone à l'aide de son visage, rendu possible par l'amélioration de la reconnaissance faciale et de l'intelligence artificielle (IA).
Quelques jours plus tôt, des chercheurs de l'université de Stanford ont réussi grâce à l'intelligence artificielle à déterminer l'orientation sexuelle d'une personne à partir d'une simple photo postée sur un site de rencontre. Les smartphones de demain pourront-ils, eux aussi, déterminer notre orientation sexuelle ?
Engouement certain
L'IA est souvent vue comme la quatrième révolution industrielle. Elle touche tous les secteurs d'activité et va nécessairement bouleverser notre quotidien. Dans l'industrie, les robots dotés de l'IA deviennent pleinement autonomes. Dans la banque, à travers l'amélioration de l'expérience client, de la prise de décision pour l'octroi de crédits ou encore l'automatisation du trading. Dans la santé, avec le soutien aux chirurgiens, la prévention améliorée du cancer ou de maladies indétectables. Dans la justice, avec la capacité de rendre un verdict en étudiant tous les éléments d'un dossier.
Lire aussi : Un système stellaire découvert grâce à l'IA
On comprend vite pourquoi l'engouement pour cette technologie ne cesse de croître. Seulement, le domaine est encore assez nouveau et il faut désormais réfléchir aux dangers et aux dérives possibles. En effet, l'IA pose question et reste assujettie à de nombreux problèmes (éthique, responsabilité, impact social...). Il est essentiel d'anticiper dès aujourd'hui et d'envisager la rédaction d'une réglementation spécifique à son application.
Problèmes éthiques, questions sociales
L'étude menée par les chercheurs de l'université de Stanford concernant la détection de l'orientation sexuelle avait justement pour but de montrer les dérives possibles de l'IA. Il est évident que si une telle application venait à être publique, cela pourrait avoir de graves conséquences dans certaines sociétés (discrimination, stigmatisation, chasse à l'homme, etc.).
Mais ce qui rend cette étude particulièrement intéressante et inquiétante, ce sont les données utilisées. Pour parvenir à ces résultats, les chercheurs ont simplement exploité les profils d'utilisateurs de sites de rencontres. Or ces données sont publiques, tout le monde pourrait y avoir accès. Au-delà du problème moral des usages de l'intelligence artificielle, cette étude pose à nouveau la question de l'utilisation de données personnelles.
Dossier : Petite histoire de l'intelligence artificielle
En alliant l'IA à la robotisation, certains emplois sont effectivement menacés, mais surtout cela touche toutes les catégories socioprofessionnelles. L'intelligence artificielle impacte aussi bien les métiers d'hôtes que les plus hauts managers des grandes entreprises.
Il est compliqué de quantifier l'impact de l'IA sur les emplois, certaines études montrent que la perte d'emploi sera bien supérieure à la création d'emploi et d'autres études l'annoncent avec plus de modération. Bien que la question reste ouverte, certains secteurs d'activités seront bien plus touchés que d'autres. Il est encore difficile de mesurer les conséquences sur le marché de l'emploi, néanmoins les institutions pourraient être amenées à légiférer afin de freiner l'impact social de l'IA.
Trouver un responsable
C'est un sujet qui fait débat aujourd'hui notamment avec l'arrivée des voitures autonomes. Bien que les taux d'erreur des intelligences artificielles soient bien plus faibles que ceux des humains, ils existent. Le 7 mai 2016, en Floride, une voiture Tesla rentre en collision avec un camion et provoque le décès du conducteur.
Raison de la collision : le ciel était trop éblouissant pour la caméra qui n'a pas su détecter le camion qui était de couleur blanche. La question est donc de savoir qui sera responsable en cas d'accident. La marque Tesla, le conducteur ? De son côté, la marque se défend en indiquant que sa voiture n'est pas une voiture autonome et que son mode Autopilot (le système qui permet au véhicule de s'autoconduire) n'est qu'une aide à la conduite, la faute reviendrait donc au conducteur.
On pourrait aussi élargir cette question à la médecine, les chirurgiens pourraient à l'avenir être assistés par des robots dotés de l'IA. En cas d'erreur de la part de l'IA qui serait responsable, l'IA ou le chirurgien ?
Assurer la sécurité
L'IA est capable d'apprendre à partir d'exemples, d'expérience, d'historique. C'est ce qu'on appelle la base d'apprentissage. Cependant que se passerait-il si l'on venait à modifier la base d'apprentissage ? En mars 2016, Microsoft lance Tay, une IA conversationnelle sur Twitter capable d'apprendre également de ces discussions avec les twittos. Après des débuts prometteurs, les twittos se sont mis à tester les limites de Tay, c'est alors qu'ils l'ont rendue sexiste et raciste. Suite à cela, Microsoft arrête l'expérience.
Suivant l'apprentissage, l'IA peut totalement s'éloigner de son principal objectif et potentiellement adopter un comportement dangereux. Serait-il possible, suite à un piratage informatique par exemple, d'apprendre à une IA capable de conduire un véhicule de manière autonome qu'au feu rouge le véhicule passe et à contrario qu'au feu vert il s'arrête ? Des chercheurs chinois sont ainsi parvenus à piloter une Tesla située à plusieurs kilomètres en s'emparant de son intelligence de bord...
Encadrer les usages
Pour l'instant, la réglementation française ou européenne liée à l'intelligence artificielle est quasi-inexistante, mais les autorités commencent à y réfléchir, à l'image du règlement européen de protection des données (RGPD).
Cette norme européenne qui devrait rentrer en vigueur à partir de mai 2018 stipule l'accord explicite du client afin d'utiliser ses données personnelles. Avec cette exigence, l'étude de l'équipe de Stanford sur l'orientation sexuelle n'aurait pu être réalisée sans l'accord des utilisateurs.
Notons également le vote du Parlement européen du 16 février 2017 qui demande à la Commission européenne d'intervenir sur la législation des robots et de l'intelligence artificielle. La majorité du nombre de voix favorables montre bien l'importance d'anticiper et la nécessité de réglementer (396 pour, 123 contre, 85 abstentions). La réglementation devra justement prendre en compte l'impact social de l'intelligence artificielle, la responsabilité et l'éthique (atteinte à la vie privée).
L'IA a un bel avenir devant elle, destinée à modifier significativement notre quotidien, notre milieu professionnel. Nous ne pourrons pas nous passer d'elle, mais pour que l'IA s'intègre au mieux possible dans notre société il est impératif d'encadrer ses usages. En général, la technologie avance bien plus vite que la législation, mais si nous voulons éviter des dérives il est nécessaire d'anticiper, d'améliorer la sécurité des entreprises et de légiférer dans les prochaines années.
Samy Fracso est consultant chez Vertuo (Groupe Square)
DATE-CHARGEMENT: 7 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
212 of 500 DOCUMENTS
Les Echos
vendredi 15 décembre 2017
SIA Partners se positionne à la pointe du conseil 4.0
AUTEUR: ANTOINE BOUDET
RUBRIQUE: ARTICLE; Solutions algorithmiques; Pg. 18 N°. 22594
LONGUEUR: 549 mots
ENCART: Le cabinet de conseil indépendant français surfe sur la vague de l'intelligence artificielle.Il développe des robots associés à des missions pour ses consultants.
« Du jamais-vu depuis 2007 ! » Même s'il est habitué à voir SIA Partners régulièrement faire mieux que le marché du conseil en France, son président-fondateur, Matthieu Courtecuisse, n'a pas connu une telle dynamique dans l'Hexagone depuis la dernière grande crise financière. Il table sur une croissance de 20 % sur un an de l'activité du groupe en France au terme de l'exercice 2017-2018, clos fin juin. Et celle-ci sera supérieure à celle à l'international, ce qui n'était pas arrivé depuis plusieurs années.
Au total, SIA Partners devrait terminer l'exercice à 155 millions d'euros de chiffre d'affaires, dont une centaine de millions en France et près d'un tiers hors du marché domestique. Et son patron anticipe déjà une nouvelle accélération du développement du groupe au cours du prochain exercice, pour atteindre les 200 millions. Les acquisitions uniquement hors de France y contribueront, avec « de 3 à 4 opérations visées » sur la période. Mais pas seulement. Les moteurs de croissance organique tournent en effet à plein régime. En France, l'élection d'Emmanuel Macron, en mai 2017, a marqué un vrai tournant avec le retour de la confiance, constate Matthieu Courtecuisse. Les chantiers ne manquent pas dans des secteurs en profonde transformation comme la banque et l'énergie, où SIA Partners a des positions historiques. La réforme de l'Etat pourrait aussi prendre une nouvelle dimension.
Après deux quinquennats décevants, la nomination, il y a peu, de Thomas Cazenave, un proche du président de la République, comme délégué interministériel à la transformation publique est un signal positif. Le patron de SIA Partners y voit un motif d'optimisme, et le groupe a répondu en consortium aux appels d'offres pour tous les ministères, sauf celui de la Défense. Il y a aussi la transformation numérique des services publics, à commencer par le prélèvement à la source, qui sera effectif en 2019.
Parmi les autres sujets qui émergent dans l'univers du conseil, ceux liés au Brexit, comme la question de la sécurité juridique des transactions ou encore les systèmes de réassurance dans le domaine de l'énergie, sont prometteurs. Sans parler de l'entrée en vigueur, en mai 2018, du Règlement général sur la protection des données (RGPD) défini par l'Europe, avec pas moins de 65 projets en cours dans les entreprises, d'une taille moyenne de 40 millions d'euros pour celles du CAC 40 et jusqu'à 100 millions pour les grandes banques.
Solutions algorithmiques
Mais c'est sur le conseil 4.0 et l'intelligence artificielle que SIA Partners se veut en pointe. « Nous développons des robots qui délivrent des solutions algorithmiques », explique Matthieu Courtecuisse, exemples à l'appui : dans l'analyse prédictive, le cabinet a ainsi réalisé une « machine learning » pour la prédiction de consommation d'électricité ; dans l'analyse sémantique, il a vendu à une banque une solution permettant de passer en revue la production quotidienne d'une quarantaine de régulateurs.
Avec une douzaine de « consulting bots » aujourd'hui, SIA Partners compte en avoir une centaine en 2020, avec comme objectif pour ce segment d'activité d'atteindre 10 % du chiffre d'affaires du groupe. Il prévoit, pour ce faire, d'investir de 2 à 3 millions d'euros par an en recherche fondamentale.
DATE-CHARGEMENT: 15 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
213 of 500 DOCUMENTS
La Tribune
Jeudi 14 Décembre 2017
Laurent Alexandre : "La France a perdu sa souveraineté numérique"
AUTEUR: Pierre Cheminade
RUBRIQUE: TERRITOIRES; Pg. 78
LONGUEUR: 774 mots
ENCART: L'Europe a-t-elle déjà perdu la bataille du numérique ? Pour l'auteur et entrepreneur Laurent Alexandre, invité de French Tech Connect Bordeaux, la réponse est clairement positive. Volontiers alarmiste, le fondateur de Doctissimo estime que pour ne pas perdre la guerre et sortir d'une situation de "colonie numérique sans souveraineté", la France doit renforcer la recherche en intelligence artificielle et supprimer la protection des données personnelles.
"Je vais vous parler de politique ce soir, je vais vous parler de vos enfants." C'est par ces mots, volontairement graves, qu'a débuté l'intervention de Laurent Alexandre (*) devant les 1.500 entrepreneurs, dirigeants et étudiants réunis au French Tech Connect de Bordeaux, mardi 12 décembre. Le chirurgien, essayiste, conférencier, fondateur de Doctissimo et président de DNA Vision était l'un des invités vedettes de cette 2e édition. Adoptant une posture de gourou du numérique - voix grave, bras levés et phrases chocs à l'appui - Laurent Alexandre s'est concentré sur la guerre de l'intelligence artificielle entre les Etats-Unis et la Chine... Conflit dans lequel la France et l'Europe ont déjà été colonisées.
"Rien n'a été fait pour préparer la jeune génération à la révolution numérique. Nos élites, menées par des présidents technophobes, ont abandonné notre futur. J'ai 57 ans et ma génération n'a rien compris au numérique tant politiquement qu'économiquement, sacrifiant ainsi votre génération", a-t-il posé d'entrée. La menace des géants GAFA et BATX Tout l'enjeu est de combler l'énorme retard entre les entreprises françaises et européennes "devenues des naines au niveau mondial" et les leaders californiens GAFA (Google, Amazon, Facebook, Apple) et chinois BATX (Baidu, Alibaba, Tencent, Xiaomi). "Nos entreprises atteignent 1 MdEUR de capitalisation quand les GAFA en totalisent 1.000 MdEUR et le seul Tencent atteint 540 MdEUR", a rappelé Laurent Alexandre. Une domination sans partage des Etats-Unis et de la Chine qui a entraîné, selon l'entrepreneur "une perte de souveraineté numérique à tel point que la France et l'Union européenne sont devenues aujourd'hui des colonies numériques". Le nerf de cette guerre technologique est la recherche dans l'intelligence artificielle (IA), un enjeu tant à titre individuel que géostratégique : "Allons-nous finir écrabouillés par les GAFA et les BATX ?", a questionné Laurent Alexandre de manière purement rhétorique. Favoriser l'utilisation des données personnelles Pour lui, il est urgent de permettre aux entreprises européennes de "grossir plus vite, grandir plus vite et de disposer des moyens financiers et réglementaires nécessaires". Il met en avant deux axes principaux. Le premier, plutôt consensuel, propose de muscler le budget de la recherche - "2,2 % du PIB en France contre 5 % en Corée du Sud" - tandis que le second, clairement plus polémique, propose de lever les freins français et européens à la collecte et l'utilisation de données :
"La Cnil (commission nationale informatique et liberté) doit être modifiée pour permettre aux IA françaises d'utiliser les données personnelles. Il faut secouer Bruxelles pour moderniser le nouveau règlement européen sur la protection de ces données [RGPD]. Je vous le dis : ces règlements vont freiner les entreprises européennes et favoriser leurs concurrentes américaines et chinoises. Il y a une guerre technologique : l'Europe a besoin de guerriers !" Les entrepreneurs, le nouveau lobby Des évolutions qui passeront nécessairement, dans l'esprit de Laurent Alexandre, par un renouvellement drastique du personnel politique : "L'élection d'Emmanuel Macron a renouvelé profondément le personnel politique. Ces nouveaux élus, souvent plus jeunes, comprennent mieux la technologie qu'il y a un an. Mais ce n'est pas suffisant. Il faut remplacer les gens de l'autre temps". Et l'auteur de "La Guerre des intelligences" (2017, JC Lattès) d'appeler "la jeune génération d'entrepreneurs à être le lobby du futur auprès du patronat, des administrations, de l'Éducation nationale et des élus locaux et nationaux !" Le dynamisme des jeunes entrepreneurs du vieux continent est en effet le "terreau extrêmement fertile" qui doit permettre de renverser la vapeur :
"Vous devez être plus ambitieux que vos aînés, plus internationaux, plus agressifs, vous devez viser des entreprises multimilliardaires pour dépasser la taille du simple crapaud numérique. Il y a un momentum très favorable pour développer le numérique et l'IA en France aujourd'hui mais il faut vous mobiliser !" Mounir Mahjoubi président ! Et Laurent Alexandre de conclure son discours en se prenant à rêver, "à titre personnel", au sujet d'Emmanuel Macron et de Mounir Mahjoubi, le secrétaire d'Etat au Numérique, également présent à French Tech Connect :
"Mounir Mahjoubi n'est que secrétaire d'Etat mais il devrait être ministre d'Etat chargé de l'IA et, après les deux mandats d'Emmanuel Macron, je rêve d'une France où il serait le prochain président de la République !" Rien de moins. (*) Laurent Alexandre est actionnaire à hauteur de 28% de "La Tribune".
(876821.png)
DATE-CHARGEMENT: 13 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
214 of 500 DOCUMENTS
Le Cercle
jeudi 14 décembre 2017
L'e-administration face à la fracture numérique
AUTEUR: Jean-Michel Arnaud
RUBRIQUE: ARTICLE
LONGUEUR: 729 mots
ENCART: Parmi les promesses de campagne d'Emmanuel Macron figurait celle de réconcilier les Français et leur administration. Pour mener à bien cette tâche lourde, mais nécessaire, l'État doit absolument accélérer la numérisation des services publics, source de simplification pour l'usager et d'opportunités pour le citoyen.
C'est dans ce cadre qu'a récemment été présenté le projet de loi "pour un État au service d'une société de confiance", qui généralise le principe du "droit à l'erreur" pour l'usager. Pour mener à bien cette tâche lourde, mais nécessaire, l'État doit absolument accélérer la numérisation des services publics, source de simplification pour l'usager et d'opportunités pour le citoyen. Le gouvernement actuel s'est fixé une feuille de route ambitieuse : le cap de 100 % de services dématérialisés à l'horizon 2022 devra être atteint, objectif pour la réussite duquel un fonds de 700 millions d'euros sera notamment créé.
La numérisation des services publics est déjà sur les rails depuis plusieurs années. Pôle emploi, l'assurance maladie ou les services fiscaux ont déjà largement dématérialisé leurs services, et les usages progressent : selon le baromètre 2016 de l'ARCEP, les démarches administratives arriveraient même en tête des activités sur Internet, devant le e-commerce.
Mais ces chiffres sont à nuancer, le rapport de 2016 de la Cour des comptes révélant que 41 % des utilisateurs n'allaient pas jusqu'au bout de ces démarches, un décalage qui, selon les rapporteurs, pourrait être lié à leur complexité. Dématérialisation doit en effet rimer avec simplification. Avec l'identifiant universel FranceConnect, lancé en 2016, les données de l'usager circulent désormais plus facilement entre administrations, ce qui limite les doublons dans les contrôles et lui évite de devoir fournir des pièces déjà produites dans le cadre d'un autre dossier.
Mais le numérique n'intéresse pas que l'usager, loin de là, il est aussi un formidable outil pour le citoyen. L'ouverture des données publiques, obligatoire depuis 2016 pour les collectivités de plus de 3 500 habitants, est une ressource indispensable à l'initiative privée, qu'elle soit associative ou entrepreneuriale. Consultations et budgets participatifs en tous genres fleurissent à travers le territoire, permettant d'associer plus étroitement les habitants aux décisions qui les concernent. Grâce au numérique et au design public, il est désormais possible d'associer les citoyens à la conception des services publics, afin de faciliter leur utilisation et de limiter les risques d'échec.
Toutefois, pour que le numérique tienne toutes ses promesses, les pouvoirs publics doivent relever le défi de la triple fracture numérique. Fracture territoriale tout d'abord, puisque quelque 7,5 millions de Français ne seraient toujours pas éligibles à un Internet de qualité. L'UFC Que Choisir estime que le très haut débit ne couvrira pas l'ensemble du territoire avant 2035. Le déploiement des réseaux et de la fibre optique doit donc s'accélérer. Fracture dans la population ensuite, puisque 13 % des Français se disent encore incapables de réaliser de simples démarches en ligne. Une action volontariste contre l'illectronisme devra être menée si l'on ne veut pas laisser des millions de citoyens sur le bord du chemin. Elle se fera par l'éducation, mais aussi par un accompagnement de proximité dans lequel les collectivités locales auront un rôle capital à jouer. Enfin, fracture chez les agents du service public, car tout effort vers la numérisation sera réduit à néant s'ils ne s'approprient pas cette révolution. Tout d'abord par la maîtrise des nouveaux outils, mais aussi par la protection efficace des données personnelles qu'ils seront de plus en plus appelés à manipuler.
Le nouveau cadre juridique européen (RGPD), qui entre en vigueur le 25 mai 2018, prévoit que les différentes administrations identifient les traitements non conformes et, à cet effet, dressent une cartographie recensant les flux de données et les agents qui en ont la charge. L'objectif est notamment de ne récolter que les données personnelles strictement nécessaires à la fourniture du service en question. Comme on peut l'imaginer, se conformer à ces nouvelles exigences nécessitera pour ces agents d'acquérir de nouvelles compétences.
Ainsi, à court terme, il n'est pas certain que le tournant numérique de l'action publique soit source d'économies, si l'on veut qu'il soit efficace et inclusif. Une telle transition demande des investissements massifs pour avoir une chance de succès. Attention, donc, à ne pas vouloir en récolter les marges budgétaires trop tôt, au risque de diminuer celles qui peuvent en être attendues à plus long terme.
DATE-CHARGEMENT: 4 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
215 of 500 DOCUMENTS
Les Echos.fr
jeudi 14 décembre 2017
SIA Partners se positionne à la pointe du conseil 4.0
AUTEUR: ANTOINE BOUDET
RUBRIQUE: ARTICLE; Les moteurs de croissance tournent à plein régime
LONGUEUR: 646 mots
ENCART: Le cabinet de conseil indépendant français surfe sur la vague de l'intelligence artificielle. Il développe des robots associés à des missions pour ses consultants.
« Du jamais vu depuis 2007 ! » Même s'il est habitué à voir SIA Partners régulièrement faire mieux que le marché du conseil en France, son président fondateur, Matthieu Courtecuisse, n'a pas connu une telle dynamique dans l'Hexagone depuis la dernière grande crise financière. Il table sur une croissance de 20 % sur un an de l'activité du groupe en France au terme de l'exercice 2017-2018, clos fin juin. Et celle-ci sera supérieure à celle à l'international, ce qui n'était pas arrivé depuis plusieurs années.
Au total, Sia Partners devrait terminer l'exercice à 155 millions d'euros de chiffre d'affaires, dont une centaine de millions en France et près d'un tiers hors du marché domestique. Et son patron anticipe déjà une nouvelle accélération du développement du groupe au cours du prochain exercice, pour atteindre les 200 millions. Les acquisitions, uniquement hors de France, y contribueront, avec « 3 à 4 opérations visées » sur la période. Mais pas seulement.
Les moteurs de croissance tournent à plein régime
Les moteurs de croissance organique tournent en effet à plein régime. En France, l'élection d'Emmanuel Macron en mai 2017 a marqué un vrai tournant avec le retour de la confiance, constate Matthieu Courtecuisse. Les chantiers ne manquent pas dans des secteurs en profonde transformation, comme la banque et l'énergie où SIA Partners a des positions historiques. La réforme de l'Etat pourrait aussi prendre une nouvelle dimension.
Après deux quinquennats décevants, la nomination, il y a peu, de Thomas Cazenave, un proche du président de la République, comme délégué interministériel à la transformation de l'Etat est un signal positif. Le patron de SIA Partners y voit un motif d'optimisme, et le groupe a répondu en consortium aux appels d'offres pour tous les ministères, sauf celui de la Défense. Il y a aussi la transformation numérique des services publics, à commencer par le prélèvement à la source qui sera effectif en 2019.
Fabricant de solutions algorithmiques
Parmi les autres sujets qui émergent dans l'univers du conseil, ceux liés au Brexit, comme la question de la sécurité juridique des transactions ou encore les systèmes de réassurance dans le domaine de l'énergie, sont prometteurs. Sans parler de l'entrée en vigueur en mai 2018 du Règlement Général sur la Protection des Données (RGPD) défini par l'Europe, avec pas moins de 65 projets en cours dans les entreprises, d'une taille moyenne de 40 millions d'euros pour celles du CAC40 et jusqu'à 100 millions pour les grandes banques.
Mais c'est sur le « conseil 4.0 » et l'intelligence artificielle que SIA Partners se veut en pointe. « Nous développons des robots qui délivrent des solutions algorithmiques », explique Matthieu Courtecuisse, exemples à l'appui : dans l'analyse prédictive, le cabinet a ainsi développé une « machine learning » pour la prédiction de consommation d'électricité ; dans l'analyse sémantique, il a vendu à une banque une solution permettant de passer en revue la production quotidienne d'une quarantaine de régulateurs. Avec une douzaine de « consulting bots » aujourd'hui, SIA Partners compte en avoir une centaine en 2020, avec un objectif pour ce segment d'activité d'atteindre 10 % du chiffre d'affaires du groupe. Il prévoit, pour se faire, d'investir 2 à 3 millions d'euros par an en recherche fondamentale.
Le groupe double de taille au Moyen-Orient
SIA Partners annonce ce vendredi qu'il va acquérir ShiftIN Partners, basé à Abu Dhabi et présent notamment à Dubai et Ryad. « Nous doublons de taille au Moyen-Orient pour atteindre une vraie masse critique avec 10 millions de dollars de revenus », se félicite Matthieu Courtecuisse, président-fondateur du cabinet de conseil français. ShiftIN compte parmi ses équipes 6 consultant saoudiens qui vont permettre au groupe français d'accroître sa présence en Arabie Saoudite, un très prometteur marché.
Contributor:
DATE-CHARGEMENT: 18 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Les Echos
tous droits réservés
216 of 500 DOCUMENTS
La Tribune
Mercredi 13 Décembre 2017
Données à caractère personnel : l Europe se pare d une nouvelle législation
AUTEUR: La Tribune partenaire
RUBRIQUE: TERRITOIRES; Pg. 93
LONGUEUR: 667 mots
ENCART: La cinquième édition des Matinales de la recherche de Toulouse Business School a permis de présenter devant un public nombreux, au sein duquel une grande diversité de professionnels, les enjeux liés à la prochaine législation européenne relative à la conservation des données à caractère personnel.
Applicable dès le 25 mai 2018, le nouveau règlement général sur la protection des données (RGPD) s'imposera immédiatement à toutes les institutions, entreprises, collectivités, ou encore associations qui traitent des données à caractère personnel des résidents de l'Union européenne. Elle vise à minimiser les risques de violations des données à caractère personnel, et tous les préjudices pouvant en découler : atteinte à la vie privée, à la réputation, à l'image, ou encore toutes les formes de discrimination qui pourraient en découler, notamment dans le cas des données sensibles.
Comme l'a rappelé Gregory VOSS, juris doctor et enseignant-chercheur à Toulouse Business School, spécialiste de la protection des données personnelles et du droit de l'internet, le RGPD procède d'un changement radical de culture. Concrètement, il n'y aura plus de formalités préalables. En revanche, chaque institution devra mettre en uvre des outils de protection des données à caractère personnelle (faire un inventaire de ses traitements de données, effectuer une analyse d'impact des donnés traitées, nommer un délégué à la protection des données...) et être en mesure d'en justifier à tout moment, en cas de contrôle de la CNIL.
Un changement de culture
Autre changement de taille, en cas de piratage ou de fuite de données, l'institution visée devra notifier l'incident dans les meilleurs délais, non seulement
à l'autorité de contrôle, mais aussi à toutes les personnes touchées (clients, utilisateurs, etc.), sauf exception, dès lors que la violation est susceptible d'engendrer un risque élevé pour les droit et libertés de ces personnes. Cette nouvelle législation appelle donc les entreprises à revoir leur protection des données : par des biais technologiques tels que le chiffrement et la pseudonymisation, mais aussi au niveau de la conception-même de leurs systèmes, en limitant les données collectées : quantitativement, qualitativement, dans la durée et dans leur accessibilité.
Parmi les points positifs recensés : un guichet réglementaire unique, une harmonisation juridique à l'échelle de l'Union Européenne, une simplification des formalités (plus de déclaration préalable, seule compte l'efficacité du système mis en place) et, par ricochet, le besoin de nouveaux outils et de nouvelles compétences ouvrant de nouvelles opportunités de carrière et perspectives de développement (on estime à 75000 le nombre d'emplois à créer à l'échelle mondiale dans ce secteur de la protection des données à caractère personnel).
Une législation imparfaite mais source d'opportunité
Second orateur de cette Matinale, Maitre Stanley CLAISSE, avocat, conférencier et formateur spécialisé en droit de la propriété intellectuelle, droit de l'informatique et des télécommunications, a précisé certaines implications de cette nouvelle donne, attirant notamment l'attention sur l'arrivée de nouveaux acteurs douteux sur ce marché qui n'engagent pas tous leur responsabilité sur les conseils et avis qu'ils donnent.
Autre conséquence à comprendre, un donneur d'ordre, responsable en première ligne des donnés qu'il traite doit s'assurer que ses sous-traitants
garantissent, par contrat, le niveau de sécurité qu'il a défini en interne et à défaut devra s'en séparer.
Enfin, Stanley CLAISSE a exposé certaines limites de la nouvelle législation, parmi lesquelles l'absence de prise en compte des données dites non-personnelles (trackers sur internet, notamment étrangers), outre une vrai difficulté pour annoncer la "finalité", au sens de la loi,
d'un traitement de type "big data" dès lors que celui-ci va produire, par définition, des résultats inattendus.
Cependant, il juge plutôt favorablement cette évolution réglementaire en ce qu'elle offre des opportunités de sécurisation et de rationalisation des collectes de données à caractère personnel permettant de mieux les exploiter et les valoriser.
L'arrivée du règlement général sur la protection des données était le sujet de la matinale de la recherche de TBS le 08 décembre 2017
DATE-CHARGEMENT: 12 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
217 of 500 DOCUMENTS
La Tribune - Objectif Aquitaine
Mercredi 13 Décembre 2017
Laurent Alexandre : "La France a perdu sa souveraineté numérique"
AUTEUR: Pierre Cheminade
RUBRIQUE: INNOVATION
LONGUEUR: 772 mots
ENCART: L'Europe a-t-elle déjà perdu la bataille du numérique ? Pour l'auteur et entrepreneur Laurent Alexandre, invité de French Tech Connect Bordeaux, la réponse est clairement positive. Volontiers alarmiste, le fondateur de Doctissimo estime que pour ne pas perdre la guerre et sortir d'une situation de "colonie numérique sans souveraineté", la France doit renforcer la recherche en intelligence artificielle et supprimer la protection des données personnelles.
"Je vais vous parler de politique ce soir, je vais vous parler de vos enfants." C'est par ces mots, volontairement graves, qu'a débuté l'intervention de Laurent Alexandre (*) devant les 1.500 entrepreneurs, dirigeants et étudiants réunis au French Tech Connect de Bordeaux, mardi 12 décembre. Le chirurgien, essayiste, conférencier, fondateur de Doctissimo et président de DNA Vision était l'un des invités vedettes de cette 2e édition. Adoptant une posture de gourou du numérique - voix grave, bras levés et phrases chocs à l'appui - Laurent Alexandre s'est concentré sur la guerre de l'intelligence artificielle entre les Etats-Unis et la Chine... Conflit dans lequel la France et l'Europe ont déjà été colonisées.
"Rien n'a été fait pour préparer la jeune génération à la révolution numérique. Nos élites, menées par des présidents technophobes, ont abandonné notre futur. J'ai 57 ans et ma génération n'a rien compris au numérique tant politiquement qu'économiquement, sacrifiant ainsi votre génération", a-t-il posé d'entrée. La menace des géants GAFA et BATX Tout l'enjeu est de combler l'énorme retard entre les entreprises françaises et européennes "devenues des naines au niveau mondial" et les leaders californiens GAFA (Google, Amazon, Facebook, Apple) et chinois BATX (Baidu, Alibaba, Tencent, Xiaomi). "Nos entreprises atteignent 1 MdEUR de capitalisation quand les GAFA en totalisent 1.000 MdEUR et le seul Tencent atteint 540 MdEUR", a rappelé Laurent Alexandre. Une domination sans partage des Etats-Unis et de la Chine qui a entraîné, selon l'entrepreneur "une perte de souveraineté numérique à tel point que la France et l'Union européenne sont devenues aujourd'hui des colonies numériques". Le nerf de cette guerre technologique est la recherche dans l'intelligence artificielle (IA), un enjeu tant à titre individuel que géostratégique : "Allons-nous finir écrabouillés par les GAFA et les BATX ?", a questionné Laurent Alexandre de manière purement rhétorique. Favoriser l'utilisation des données personnelles Pour lui, il est urgent de permettre aux entreprises européennes de "grossir plus vite, grandir plus vite et de disposer des moyens financiers et réglementaires nécessaires". Il met en avant deux axes principaux. Le premier, plutôt consensuel, propose de muscler le budget de la recherche - "2,2 % du PIB en France contre 5 % en Corée du Sud" - tandis que le second, clairement plus polémique, propose de lever les freins français et européens à la collecte et l'utilisation de données :
"La Cnil (commission nationale informatique et liberté) doit être modifiée pour permettre aux IA françaises d'utiliser les données personnelles. Il faut secouer Bruxelles pour moderniser le nouveau règlement européen sur la protection de ces données [RGPD]. Je vous le dis : ces règlements vont freiner les entreprises européennes et favoriser leurs concurrentes américaines et chinoises. Il y a une guerre technologique : l'Europe a besoin de guerriers !" Les entrepreneurs, le nouveau lobby Des évolutions qui passeront nécessairement, dans l'esprit de Laurent Alexandre, par un renouvellement drastique du personnel politique : "L'élection d'Emmanuel Macron a renouvelé profondément le personnel politique. Ces nouveaux élus, souvent plus jeunes, comprennent mieux la technologie qu'il y a un an. Mais ce n'est pas suffisant. Il faut remplacer les gens de l'autre temps". Et l'auteur de "La Guerre des intelligences" (2017, JC Lattès) d'appeler "la jeune génération d'entrepreneurs à être le lobby du futur auprès du patronat, des administrations, de l'Éducation nationale et des élus locaux et nationaux !" Le dynamisme des jeunes entrepreneurs du vieux continent est en effet le "terreau extrêmement fertile" qui doit permettre de renverser la vapeur :
"Vous devez être plus ambitieux que vos aînés, plus internationaux, plus agressifs, vous devez viser des entreprises multimilliardaires pour dépasser la taille du simple crapaud numérique. Il y a un momentum très favorable pour développer le numérique et l'IA en France aujourd'hui mais il faut vous mobiliser !" Mounir Mahjoubi président ! Et Laurent Alexandre de conclure son discours en se prenant à rêver, "à titre personnel", au sujet d'Emmanuel Macron et de Mounir Mahjoubi, le secrétaire d'Etat au Numérique, également présent à French Tech Connect :
"Mounir Mahjoubi n'est que secrétaire d'Etat mais il devrait être ministre d'Etat chargé de l'IA et, après les deux mandats d'Emmanuel Macron, je rêve d'une France où il serait le prochain président de la République !" Rien de moins. (*) Laurent Alexandre est actionnaire à hauteur de 28% de "La Tribune".
DATE-CHARGEMENT: 13 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBOA
Copyright 2017 La Tribune
Tous droits réservés
218 of 500 DOCUMENTS
Le Cercle
mercredi 13 décembre 2017
Pouvons-nous réellement espérer une meilleure protection des données personnelles en ligne ?
AUTEUR: Vincent Merlin
RUBRIQUE: ARTICLE; L'économie de la donnée
LONGUEUR: 813 mots
ENCART: Digital native ou pas, nous laissons tous derrière nous une empreinte numérique lorsque nous surfons sur le web. Définissant notre identité en ligne, ces traces que nous laissons sur la toile sont collectées à chaque fois que nous allons sur un site, partageons des informations sur les réseaux sociaux, effectuons un achat en ligne ou envoyons un email.
Cette véritable économie de la donnée peut être très lucrative pour les marques, mais ouvre également la voie à de nombreuses dérives et nous expose surtout à des pratiques cybercriminelles de plus en plus fréquentes, phishing et usurpation d'identité en tête de liste.
Alors, peut-on réellement protéger nos données personnelles en ligne ? S'il est illusoire de croire que l'on peut ne laisser aucune empreinte numérique en tant que consommateur, il est en revanche possible d'adopter certaines bonnes pratiques, au premier rang desquelles, la vigilance, pour mieux maîtriser son identité et protéger ses données en ligne. Côté entreprise surtout, des mesures supplémentaires doivent être prises, pour une meilleure gouvernance des données à grande échelle.
L'économie de la donnée
Nous avons aujourd'hui bien conscience qu'en acceptant de partager nos photos sur les réseaux sociaux ou de donner quelques informations personnelles pour s'inscrire à une newsletter, nous perdons un certain degré de confidentialité. Nous avons au fil du temps intégré et plus ou moins accepté cette notion de "je dois donner un peu de moi pour bénéficier d'un meilleur service".
En revanche, nous sommes bien moins conscients de l'empreinte qui se crée automatiquement, et la plupart du temps à notre insu, par le biais de technologies de traçage comme la géolocalisation, les cookies, le fingerprinting, ou encore le Session Replay Script (SRS), une nouvelle technique qui permet déjà à de nombreux sites web de visualiser en différé le comportement des utilisateurs, enregistrant au passage les données personnelles et mots de passe entrés sur la page.
Ces technologies de traçage collectent de précieuses informations pour aider les marques à mieux comprendre nos préférences et nos habitudes de consommation. Nos données personnelles et de navigation revêtent ainsi une réelle valeur commerciale pour les entreprises qui les monétisent. Des marques avec qui nous interagissons, mais aussi des acteurs tiers avec lesquels nous n'avons souvent aucune relation directe et sur lesquels nous n'avons pas de contrôle. Difficile de savoir exactement qui détient nos données, où elles sont stockées et avec combien de tiers elles sont partagées ! De quoi sérieusement entacher notre "digital trust"...
Pourquoi une nouvelle réglementation en matière de protection des données ?
Comme il est pratiquement techniquement impossible de refuser de se faire "tracer", nous sommes plus que jamais exposés au risque de cyber fraude. Car au-delà de méconnaître les pratiques des acteurs du web, nous avons aussi de très sérieuses raisons de douter de leur capacité à protéger nos données. Les exemples ne cessent de se multiplier, entre Yahoo, Equifax, Uber ou Imgur, exposant à chaque fois les données de millions d'utilisateurs. Selon une récente étude, près de 8 entreprises françaises sur 10 redouteraient un vol de données dans l'année à venir !
C'est dans ce contexte de cyber menace constant, pesant comme une véritable épée de Damoclès au-dessus de nos têtes, qu'une nouvelle réglementation européenne en matière de protection des données personnelles va entrer en vigueur en mai 2018. Visant à remplacer la loi française Informatique et Libertés, ce Règlement Général sur la Protection des Données (RGPD) harmonisera les mesures concernant la protection des données entre tous les pays de l'Union européenne, obligeant les entreprises à revoir leur système d'information pour se mettre en conformité avec la nouvelle réglementation.
De la nécessité d'assurer une traçabilité de la donnée
Cette nouvelle réglementation doit ainsi permettre de remettre à plat les usages en matière de gestion des données personnelles et de créer un nouveau terreau de bonnes pratiques pour les entreprises afin de gagner en transparence. D'un point de vue méthodologique, le premier volet de la mise en conformité implique d'identifier et de classer toutes les données à caractère personnel collectées, traitées et conservées.
Cette première phase d'audit est nécessaire pour identifier les défauts de conformité et les corriger avec une feuille de route incluant des processus et des moyens humains appropriés. Sans oublier la mise en oeuvre de technologies adéquates comme le cryptage, la prévention des fuites de données à travers tous les vecteurs de communication, la détection des compromissions réseau ou encore la gestion des archives.
Si toutes les entreprises en sont à des stades plus ou moins avancés de préparation, la nouvelle réglementation RGPD a le mérite de remettre les données personnelles au coeur des politiques de sécurité des organisations et d'éveiller l'attention des consommateurs sur leur empreinte numérique. Protéger son identité numérique, c'est protéger sa réputation, mieux comprendre comment ses données sont partagées et rester vigilant pour éviter tout piratage de ses données personnelles.
DATE-CHARGEMENT: 20 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
219 of 500 DOCUMENTS
Acteurs publics
12 décembre 2017
La protection des données, vaste marché et vraie contrainte
RUBRIQUE: ACTUALITES
LONGUEUR: 984 mots
À cinq mois de l'échéance, il est grand temps de de s'y mettre : le 25 mai 2018, le règlement européen sur la protection des données (RGPD) entrera en application et le moins que l'on puisse dire est qu'il reste du pain sur la planche pour que les administrations et les entreprises s'y conforment. C'est la leçon qu'a tirée le Syntec numérique, le syndicat professionnel des entreprises de services du numérique (ESN), des éditeurs de logiciels et des sociétés de conseil en technologies, à l'occasion d'un "tour de France" mené à l'automne.
"Lorsque nous évoquions le RGPD avec nos interlocuteurs - privés ou publics -, cela ne manquait pas à chaque fois : un grand silence s'installait", rapporte Laurent Baudart, délégué général du Syntec numérique, à l'occasion d'une rencontre avec la presse le 7 décembre.
Lourdes amendes
Pour lui, la raison est simple : "Le RGPD est resté très longtemps à Bruxelles et quand il en est sorti, seules les grandes entreprises s'en sont préoccupées." En effet, le texte a été adopté par le Parlement et le Conseil européen le 26 avril 2016, puis est paru au Journal officiel de l'Union européenne en juin 2016 [lire notre article].
Contrairement à une directive, un règlement européen ne nécessite aucune transposition dans les États membres et le même texte s'appliquera pour tous le 25 mai 2018. En cas de non-mise en conformité, outre des avertissements publics, la Cnil pourra prononcer des amendes administratives allant jusqu'à 20 millions d'euros ou, pour une entreprise, 4 % du chiffre d'affaires mondial.
Délai de tolérance ?
"Le fait d'avoir deux ans pour préparer son application a fait oublier le RGPD. Très peu d'entreprises seront conformes en 2018, tout le monde le sait bien", poursuit Laurent Baudart. Lequel avance que "la Cnil [la Commission nationale de l'informatique et des libertés, ndlr] accordera peut-être un délai de tolérance". Par essence, le règlement renforce encore les obligations des acteurs en matière de transparence des traitements et de respect des droits des personnes et s'axe sur une logique globale de responsabilisation de l'ensemble des détenteurs de données.
Selon une enquête réalisée mi-2017 auprès de 150 entreprises de plus de 500 salariés par l'Observatoire sur la maturité et les enjeux du RGPD en France, 42 % reconnaissent qu'elles prennent tout juste conscience des nouvelles obligations qui les attendent, tandis que 58 % affirment avoir "une maturité forte" sur le sujet.
Parmi les grands changements, la désignation d'un délégué à la protection des données (data protection officer), successeur du correspondant informatique et libertés (CIL), dont la désignation est aujourd'hui facultative, sera obligatoire dans les entreprises aussi bien que dans les organismes et autorités publics et dans les collectivités locales.
"On ne va pas venir m'embêter"
"Dans l'administration et plus particulièrement dans les collectivités locales dont nous avons rencontré les représentants, personne n'était prêt", relate Laurent Baudart. Car certains élus se sont d'office placés hors catégorie. "Les maires et présidents de collectivité disaient : « Moi, je suis dans une administration, alors on ne va pas venir m'embêter ! » N'empêche que tout citoyen pourra porter plainte au civil mais aussi au pénal s'il constate une mauvaise application du règlement."
À titre d'exemple, dans le secteur hospitalier, les éditeurs de logiciels membres du Syntec numérique ont prévenu les hôpitaux qu'à compter du 26 mai 2018, un patient pourra attaquer un établissement s'il considère à raison que ses données personnelles n'ont pas été correctement traitées... "Cela n'a plus rien à voir avec la simple déclaration à la Cnil, en vigueur depuis 1978. Il faut notamment être en mesure de cartographier les flux", insiste le délégué général.
Manne financière pour le secteur du numérique
Le RGPD va engendrer 1 milliard d'euros de dépenses en logiciels et services en 2018, pronostique le Syntec numérique, pour qui cette somme représente une manne à verser au chiffre d'affaires des entreprises du numérique. Découlent ainsi de ce nouveau règlement "des perspectives durables d'opportunités" : mise en place d'une gouvernance, cadrage et accompagnement, audit, cartographie des données et applications, définition de nouveaux processus et architectures, politique de sécurité, de formation et déploiement des solutions (pour les ESN).
"Pour la branche « éditeurs de logiciels », le marché sera porteur en termes de chiffrement et confidentialité, d'audit, d'analyse et protection des flux de données, de gestion des identités et des accès", illustre Godefroy de Bentzmann, président du syndicat professionnel, qui représente 2 000 entreprises, 447 000 salariés et 80 % du chiffre d'affaires du secteur - qui s'élève à 53 milliards d'euros.
Grâce au RGPD, le Syntec numérique peut se frotter les mains : il escompte pas moins de 3,6 % de croissance en 2018, score jamais atteint depuis 2011.
Investir plus dans l'intelligence artificielle
Seule ombre au tableau : il manque aujourd'hui 25 000 à 40 000 ingénieurs dans le secteur et 65 % des entreprises du numérique ne parviennent pas à recruter suffisamment.
Le Syntec numérique appelle donc le gouvernement à approfondir l'accompagnement des demandeurs d'emploi en vue des reconversions massives à prévoir vers les métiers en tension. "Si on ne bouge pas, on protégera une situation à court terme, mais à moyen terme, nous n'aurons pas les moyens de traiter des enjeux bien plus graves", alerte Godefroy de Bentzmann.
Le syndicat professionnel pointe notamment le secteur de l'intelligence artificielle (IA) pour lequel les investissements doivent être programmés sur un rythme pluriannuel et surtout, revus à la hausse. "1 milliard sur cinq ans comme le prévoyait le plan IA lancé par François Hollande, cela ne suffit pas. Les Allemands, eux, investissent 1 milliard, mais par an", conclut-il.
DATE-CHARGEMENT: 12 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Société d'édition publique
Tous droits resérvés
220 of 500 DOCUMENTS
La Tribune - Objectif news - (Midi Pyrénées)
Mardi 12 Décembre 2017
Données à caractère personnel : l Europe se pare d une nouvelle législation
AUTEUR: La Tribune partenaire
RUBRIQUE: ÉVÉNEMENTS; ÉVÉNEMENTS PARTENAIRES
LONGUEUR: 645 mots
ENCART: La cinquième édition des Matinales de la recherche de Toulouse Business School a permis de présenter devant un public nombreux, au sein duquel une grande diversité de professionnels, les enjeux liés à la prochaine législation européenne relative à la conservation des données à caractère personnel.
Applicable dès le 25 mai 2018, le nouveau règlement général sur la protection des données (RGPD) s'imposera immédiatement à toutes les institutions, entreprises, collectivités, ou encore associations qui traitent des données à caractère personnel des résidents de l'Union européenne. Elle vise à minimiser les risques de violations des données à caractère personnel, et tous les préjudices pouvant en découler : atteinte à la vie privée, à la réputation, à l'image, ou encore toutes les formes de discrimination qui pourraient en découler, notamment dans le cas des données sensibles.
Comme l'a rappelé Gregory VOSS, juris doctor et enseignant-chercheur à Toulouse Business School, spécialiste de la protection des données personnelles et du droit de l'internet, le RGPD procède d'un changement radical de culture. Concrètement, il n'y aura plus de formalités préalables. En revanche, chaque institution devra mettre en uvre des outils de protection des données à caractère personnelle (faire un inventaire de ses traitements de données, effectuer une analyse d'impact des donnés traitées, nommer un délégué à la protection des données...) et être en mesure d'en justifier à tout moment, en cas de contrôle de la CNIL.
Un changement de culture
Autre changement de taille, en cas de piratage ou de fuite de données, l'institution visée devra notifier l'incident dans les meilleurs délais, non seulement
à l'autorité de contrôle, mais aussi à toutes les personnes touchées (clients, utilisateurs, etc.), sauf exception, dès lors que la violation est susceptible d'engendrer un risque élevé pour les droit et libertés de ces personnes. Cette nouvelle législation appelle donc les entreprises à revoir leur protection des données : par des biais technologiques tels que le chiffrement et la pseudonymisation, mais aussi au niveau de la conception-même de leurs systèmes, en limitant les données collectées : quantitativement, qualitativement, dans la durée et dans leur accessibilité.
Parmi les points positifs recensés : un guichet réglementaire unique, une harmonisation juridique à l'échelle de l'Union Européenne, une simplification des formalités (plus de déclaration préalable, seule compte l'efficacité du système mis en place) et, par ricochet, le besoin de nouveaux outils et de nouvelles compétences ouvrant de nouvelles opportunités de carrière et perspectives de développement (on estime à 75000 le nombre d'emplois à créer à l'échelle mondiale dans ce secteur de la protection des données à caractère personnel).
Une législation imparfaite mais source d'opportunité
Second orateur de cette Matinale, Maitre Stanley CLAISSE, avocat, conférencier et formateur spécialisé en droit de la propriété intellectuelle, droit de l'informatique et des télécommunications, a précisé certaines implications de cette nouvelle donne, attirant notamment l'attention sur l'arrivée de nouveaux acteurs douteux sur ce marché qui n'engagent pas tous leur responsabilité sur les conseils et avis qu'ils donnent.
Autre conséquence à comprendre, un donneur d'ordre, responsable en première ligne des donnés qu'il traite doit s'assurer que ses sous-traitants
garantissent, par contrat, le niveau de sécurité qu'il a défini en interne et à défaut devra s'en séparer.
Enfin, Stanley CLAISSE a exposé certaines limites de la nouvelle législation, parmi lesquelles l'absence de prise en compte des données dites non-personnelles (trackers sur internet, notamment étrangers), outre une vrai difficulté pour annoncer la "finalité", au sens de la loi,
d'un traitement de type "big data" dès lors que celui-ci va produire, par définition, des résultats inattendus.
Cependant, il juge plutôt favorablement cette évolution réglementaire en ce qu'elle offre des opportunités de sécurisation et de rationalisation des collectes de données à caractère personnel permettant de mieux les exploiter et les valoriser.
DATE-CHARGEMENT: 12 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBOB
Copyright 2017 La Tribune
Tous droits réservés
221 of 500 DOCUMENTS
LePoint.fr
Mardi 12 Décembre 2017
Comment réglementer les plateformes sur Internet ?
AUTEUR: Laurence Neuer
RUBRIQUE: MON PETIT DROIT M'A DIT
LONGUEUR: 1174 mots
Commander un chauffeur, réserver une maison pour ses vacances, donner et consulter des avis, écouter et partager de la musique en ligne, louer des voitures ou se rendre service... Sans Uber, Airbnb, TripAdvisor, YouTube, Drivy ou Stootie, aucune de ces opérations ne serait possible. Les plateformes numériques sont chevillées à notre quotidien, voire à notre intimité. L'accès à leurs services est si fluide qu'on en oublie qu'elles gouvernent nos vies. Mais, hormis les services - souvent gratuits - qu'elles nous rendent, que savons-nous d'elles ? Quelles sont leurs obligations à l'égard de tous ceux qui leur confient les clés de pans entiers de leur vie ? Doit-on leur faire confiance sur l'utilisation des données personnelles qu'elles collectent ? Ce sont précisément nos données, leur pétrole du XXIe siècle, qui propulsent ces entreprises d'un nouveau genre sur le podium des géants économiques mondiaux. Ces questions sont au coeur d'une consultation publique lancée en octobre par le Conseil national du numérique (CNNum). Un grand débat sur le sujet débutera en 2018. Jusqu'où la relation entre les citoyens et les plateformes est-elle encadrée par le droit ? Les réponses d'Arthur Millerand, fondateur du cabinet Parallel Avocats, coauteur du blog « » et du livre Économie collaborative & Droit(FYP éditions, 2016). Le Point : La « plateforme » est un terme générique qui englobe aussi bien les moteurs de recherche et médias sociaux que les places de marché pour des services de transport, de location de biens, de réservation d'hôtels, d'accès au droit ou d'échange de services entre particuliers.
Qu'est-ce qui caractérise une plateforme exactement ? Arthur Millerand : Économiquement, la plateforme (ou place de marché) permet, grâce à des outils technologiques, de connecter et d'agréger massivement, immédiatement et à moindre coût, des utilisateurs qui sont soit offreurs soit demandeurs. À la différence de l'entreprise « classique », qui repose sur une relation bilatérale, on est ici en présence d'une relation triangulaire (plateforme, offreur et demandeur). Juridiquement, bien que la loi fasse aujourd'hui référence à « l'opérateur de plateforme en ligne » et aux « entreprises qui mettent en relation à distance par voie électronique », il n'existe pas encore de droit de la responsabilité des plateformes. En effet, les règles applicables aux acteurs numériques, notamment la directive sur le commerce électronique de 2000 et la loi pour la confiance en l'économie numérique de 2004, ont été conçues avant que l'économie ne se plateformise. Les acteurs d'Internet ayant un régime propre sont le fournisseur d'accès à Internet, l'hébergeur et l'éditeur. Justement, toute la question aujourd'hui est de savoir si la plateforme est un hébergeur ou un éditeur. Dans une décision récente, le TGI de a estimé que le géant chinois de la vente en ligne Alibaba était un « éditeur », responsable du contenu qui transite sur son site, ce qui l'oblige à mettre en oeuvre des mesures de blocage d'annonces d'objets de contrefaçon. La plateforme aurait échappé à certaines obligations si le tribunal avait retenu la qualification d'hébergeur... Aujourd'hui, pour faire simple, les sites internet peuvent être appréhendés soit comme des « hébergeurs » (si leur activité se limite au stockage de contenus) soit comme des « éditeurs » (si leur activité s'étend à la publication et/ou au contrôle de contenu). Cette distinction est importante puisque l'hébergeur, contrairement à l'éditeur, ne peut voir sa responsabilité engagée que dans des cas limités. Il y a de nombreux procès concernant ce point, et pour chaque cas, le juge apprécie l'activité pour lui donner la qualification la plus adaptée. Dans l'exemple d'Alibaba, le juge a estimé que la plateforme ne fournissait pas un service technique neutre, mais qu'elle avait un rôle actif lui conférant une connaissance et un contrôle des données publiées. Néanmoins, notre cabinet Parallel Avocats considère que cette distinction traditionnelle est dépassée et qu'il faudrait créer un régime de responsabilité pour les plateformes afin de sécuriser leurs relations avec les utilisateurs et de protéger les sociétés opérant ces sites internet. Dans ce cadre, il nous semblerait opportun de distinguer les différentes catégories de plateformes, car si l'on prend par exemple Coin, BlaBlaCar et Uber, chacune a un niveau d'implication différent dans les transactions ayant lieu sur la plateforme, de sorte qu'il n'est pas possible de leur imposer les mêmes obligations. En attendant qu'une telle réforme voie le jour, quelles sont les obligations des plateformes au regard du droit actuel ? La loi Macron d'août 2015 précise que tout opérateur de plateforme en ligne doit délivrer au consommateur « une information loyale, claire et transparente » sur les conditions générales d'utilisation. Sauf qu'en pratique les CGU sont toujours aussi énigmatiques...Plusieurs obligations pèsent sur les plateformes, et elles ne sont donc pas hors du droit. À titre d'illustration, le Code de la consommation leur impose de vis-à-vis de leurs utilisateurs (les décrets dits « Lemaire » du 29 septembre 2017 en précisent le contenu et les modalités). Je pense que le cadre juridique est peut-être même trop contraignant et que cela rend parfois indigestes les informations délivrées aux utilisateurs, en particulier dans les conditions générales. Autre exemple, les plateformes doivent obtenir, avant le 15 mars de chaque année, un certificat émanant d'un tiers indépendant et attestant que chaque utilisateur a reçu un récapitulatif des sommes perçues au cours de l'année écoulée, et que les utilisateurs sont informés à chaque transaction de leurs obligations sociales et fiscales. Et bientôt, le droit européen va les contraindre à effacer les données personnelles des utilisateurs...Les données personnelles sont au coeur de nombreux modèles économiques des entreprises du numérique. Aujourd'hui, toute personne peut déjà s'opposer à ce que ses données soient traitées par une entreprise ou demander à ce qu'elles soient rectifiées. Demain, avec le règlement européen sur la protection des données (le « RGPD », qui entrera en vigueur le 25 mai 2018), les utilisateurs bénéficieront aussi d'un droit à l'effacement de leurs données stockées par les plateformes, appelé « droit à l'oubli ». Si une entreprise refuse une demande d'effacement répondant aux conditions prévues par le RGPD, elle s'exposera à des sanctions. Plus généralement, le RGPD crée d'importantes obligations pour sécuriser les données personnelles des utilisateurs. Les entreprises du numérique doivent se mettre à niveau pour éviter des sanctions financières et préserver leur réputation. Ignorer ces règles pourrait nuire à leur valorisation puisque les données dont elles disposent ne pourront plus être considérées comme de réels actifs. Lire aussi
DATE-CHARGEMENT: 12 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Point
Tous droits réservés
222 of 500 DOCUMENTS
Marketing
12 décembre 2017
Edition 1
RGPD... Ainsi soit-il !
AUTEUR: FLORIANE SALGUES
RUBRIQUE: EXPERTISE; Pg. 52,53
LONGUEUR: 1286 mots
ENCART: Ce n'est plus une surprise: le RGPD entrera en vigueur le 25 mai 2018 et impose aux marques de suivre plusieurs commandements pour être jugées "conformes". FLORIANE SALGUES
? Le RGPD, un séisme de magnitude 9 pour les marques? «Si vous suivez déjà les principes de la loi relative à l'informatique, aux fichiers et aux libertés de 1978, vous êtes sur la bonne voie pour la mise en conformité au règlement sur la protection des données personnelles», rassure Clémence Scottez, chef du service des affaires économiques de la Cnil. Fini le règlement "punition", l'autorité conseille même de faire du texte une opportunité: «Le RGPD est l'occasion de purger les bases de données et de mieux cartographier et sécuriser les traitements des data», poursuit Clémence Scottez. Mais aussi de créer un nouveau contrat de confiance avec les consommateurs. « Notre organisation n'a pas attendu le RGPD pour se préoccuper de la protection des données personnelles, témoigne Thomas Elm, data protection officer (DPO) d'AccorHotels.
Mais j'ai commis l'erreur de présenter le règlement par rapport à la directive européenne de 1995, qui contient beaucoup de similitudes ; or, pour engager un maximum de personnes, il faut davantage présenter le RGPD comme une révolution.» Cette "révolution" porte le nom de responsabilité, de consentement et de sécurité, notamment. «Avec l'entrée en vigueur du règlement sur la protection des données personnelles, les annonceurs font face à des obligations sur le fond - le renforcement des conditions de recueil du consentement, notamment - et sur la forme - à l'instar du mécanisme de responsabilisation des acteurs, avec un contrôle a posteriori de la Cnil, en lieu et place de la déclaration », fait part la chef du service des affaires économiques de la Cnil.
La transparence Ides informations collectées, tu donneras Les marques se doivent notamment de fournir à leurs clients/prospects, au moment où les données à caractère personnel sont collectées, les informations sur l'identité et les coordonnées du responsable de traitement (et le cas échéant, du représentant du responsable de traitement ou du DPO) et les finalités du traitement auquel sont destinées les data - ainsi que la base juridique du traitement -, les destinataires des données à caractère personnel et si le responsable du traitement a l'intention d'effectuer un transfert de ces données vers un pays tiers ou une organisation internationale. La durée de conservation des données doit également être transmise aux clients. Il est à savoir que ces données doivent être conservées uniquement le temps nécessaire à l'accomplissement du ou des objectifs poursuivi(s) lors de la collecte. Pour Clémence Scottez, «le traitement du profilage est nouveau et les annonceurs doivent être plus transparents sur le fondement de la collecte. L'intérêt légitime du consommateur prime». Il appartient aux marques de regrouper toutes ces informations dans un registre, état des lieux du traitement en cours - et consultable à tout moment par la Cnil.
Le consentement, II tu recueilleras «Le règlement renforce les conditions de recueil du consentement à traiter les données personnelles, rappelle Clémence Scottez. Celui-ci doit être traçable et prouvable, précisant à quel moment et sous quelles conditions il a été effectué. Le RGPD offre également aux individus la possibilité de retirer leur consentement», poursuit-elle. E-mail, téléphone... tous les leviers marketing sont désormais soumis au principe de l'opt-in. Mais attention à ne pas tomber dans l'excès inverse. «Le manque de connaissance quant au fonctionnement des outils de collecte, comme les DMP, a conduit les entreprises à déployer sur leurs sites des choix d'UX castrateurs pour le marketing, ne donnant envie à aucun consommateur de faire le choix de donner ses data», met en garde Dounia Zouine, manager au sein du cabinet Converteo.
Le règlement signale que "le traitement n'est licite que si, et dans la mesure où [...] la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques". La route est longue: à date, 94 % des acteurs ne collectent pas de consentement pour traiter les données personnelles à des fins de recommandations, personnalisation ou de scoring et 84 % ne le font pas lorsque leur finalité est la prospection commerciale ou le ciblage publicitaire, selon le baromètre Converteo (octobre 2017).
L'information sur III les "nouveaux droits", tu garantiras Les marques ont dorénavant l'obligation d'informer les consommateurs sur l'existence d'un droit à la portabilité de leurs données... et à leur effacement. «L'entreprise doit offrir un système qui permet à ses clients de récupérer leurs informations personnelles dans un format lisible, structuré et exploitable», précise la chef du service des affaires économiques de la Cnil. Le règlement prévoit également l'obligation de la nomination d'un DPO - notamment lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles. Cet expert du RGPD en interne veille au respect des droits d'accès, de rectification et de suppression des données, ainsi qu'à leur sécurité.
La responsabilité é avec les sous-traitants, tu partageras La responsabilité du bon traitement des données à caractère personnel incombe au responsable du traitement de la donnée dans l'entreprise, mais également - c'est la nouveauté - aux sous-traitants qui pourraient avoir accès à ces données personnelles. «Les annonceurs doivent les accompagner dans la mise en place des mesures de sécurité et prévoir des clauses dans les contrats», alerte Clémence Scottez. Le règlement impose ainsi au responsable de traitement de la donnée d'organiser la sécurité des données à caractère personnel dès la conception du produit ou du service (privacy by design), via la pseudonymisation et le chiffrement de données à caractère personnel, notamment. En cas de violation de données à caractère personnel, la marque a également obligation de notifier la Cnil dans les 72 heures. ?? r @FLOSALGUES
FRANCE TÉLÉVISIONS Au-delà de la loi : une démarche data friendly
France Télévisions se veut exemplaire quant à la gestion des données personnelles des utilisateurs de ses services. Et va même plus loin que la loi pour s'adapter à la quête de transparence des consommateurs. «Nous avons démarré une démarche data friendly en 2014, témoigne Valentin Vivier, responsable du projet data de France Télévisions, en charge de l'encadrement de la mise en conformité de la direction numérique du groupe avec le RGPD, pour permettre aux clients de supprimer leurs comptes et leurs données, à tout moment. » «Nous sommes dans la logique de ne collecter que les données dont nous avons besoin pour la personnalisation de l'expérience utilisateur et l'aiguillage des recommandations vidéos », complète Thomas Tripier, chef de projet technique.
Le challenge est de taille: faire comprendre aux utilisateurs que l'opt-in servira à offrir une "expérience remarquable" sur
la plateforme France.tv et les autres services avec logins utilisateur. La direction du numérique réfléchit ainsi à la mise en conformité avec le RGPD depuis six mois et se dit "bien avancée". Si, sur le droit à l'oubli, le média pense être quasiment prêt, le travail se poursuit sur la cartographie des traitements de données et l'affichage du module de gestion des consentements. « Nous avons besoin d'A/B tester les différents messages que nous avons conçus pour voir lesquels génèrent le plus de consentement positif », explique Valentin Vivier. « Le RGPD impacte toute l'organisation, les process existants, ainsi que les offres et les produits », relève Thomas Tripier. Au programme : la nomination d'un DPO, la refonte des clauses contractuelles des sous-traitants et la documentation des données et des flux, notamment. ?
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2017 Marketing
tous droits réservés
223 of 500 DOCUMENTS
Marketing
12 décembre 2017
Edition 1
2 Le lead scoring pour une meilleure personnalisation
AUTEUR: CLÉMENT FAGES @CLEMFAGES
RUBRIQUE: EN COUVERTURE; Pg. 42,43,44
LONGUEUR: 1480 mots
Félicitations ! Que vous l'ayez traqué ou attendu patiemment qu'il s'approche tout seul, votre lead est à l'entrée du funnel. Mais est-il assez dodu pour être servi aux commerciaux, ou faut-il encore l'élever jusqu'à ce qu'il donne satisfaction ? C'est tout l'enjeu de la qualification. CLÉMENT FAGES w Un stock de cartes qui fond au fur et à mesure des événements, des formulaires complétés pour accéder à des études et autres Livres Blancs, des cookies plein les navigateurs après avoir fait le tour on line des solutions spécialisées dans l'inbound ou l'outbound... Pas de doute, ma vie de lead a bel et bien débuté. À une différence près : je suis journaliste et je me suis toujours identifié comme tel.
Tout l'enjeu pour les équipes marketing est alors de qualifier mon profil afin de déterminer si je dois être livré aux commerciaux, placé en élevage ou rejeté dans la nature. Mais quand un commercial m'appelle pour me vendre sa solution ou qu'un des leaders du marketing automation m'adresse des e-mails en m'appelant par le prénom du directeur marketing d'Éditialis, le groupe derrière Marketing, force est de constater que quelque chose cloche. Chez Panasonic, la grande majorité des leads entrants est passée au tamis par le télémarketing. Ces leads sont qualifiés selon trois catégories : les "A" et "B" sont les plus chauds, ceux qui ont un projet sur 6 mois ou 12 mois et ont manifesté un intérêt marqué pour les solutions de l'entreprise. Ils seront transmis aux commerciaux. Les leads de la dernière catégorie, "C", n'ont pas de projet précis ou sont soumis à des contraintes spécifiques telles que les appels d'offres. Ils sont alors placés sous nurturing.
Scoring prédictif et qualification des leads « Le télémarketing à froid comme seule tactique outbound est voué à l'échec, les décideurs ne supportent plus d'être harcelés. Il est plus efficace en aval, pour qualifier rapidement un lead grâce à une approche intelligente pilotée par la donnée. En 2018, le RGPD risque de changer la donne mais, pour l'instant, un lead laisse de nombreuses informations pertinentes lors de sa navigation, sans qu'il ait à remplir un formulaire », confie Jean-Denis Garo, directeur marketing Europe du Sud de Mitel et vice-président du CMIT. Quelles sont les pages visitées par un lead ? Combien de temps ou de fois les consulte-t-il ? Le but est d'avoir assez de données socioprofessionnelles et comportementales pour qualifier un BANT : une capacité de Budget, l'Autorité nécessaire à la prise de décision, un besoin (Need) exprimé et une Temporalité pour mener le projet à terme. « Le télémarketing est pertinent pour compléter ces informations qu'on laisse rarement en ligne, mais les parcours sont tellement variés aujourd'hui qu'il n'y a pas de règle, juste la nécessité d'adopter une approche hyperpersonnalisée », commente Jean-Denis Garo, qui résume plutôt bien l'approche choisie par DHL pour qualifier les 65 000 leads générés chaque année par l'entreprise. « La durée de vie d'un lead s'est considérablement raccourcie. Désormais, il faut pouvoir apporter une réponse structurée et personnalisée en quelques heures. Nous avons mis en place une équipe de leads qualifiers, qui ont à la fois un profil commercial et marketing et qui rappellent instantanément près de 55 % des leads entrants », détaille Davney Bavoueza, CDO de DHL. Mais face à un nombre de leads multiplié par sept en trois ans du fait de l'explosion du delivery et de la mise en place d'une stratégie d'inbound, comment DHL détermine-t-il qui rappeler en priorité ? « Grâce au tracking de l'activité de ces leads sur les landing pages et à des outils de scoring prédictif développés en interne », me répond son CDO.
Toutes les entreprises n'ont pas ces capacités de développement, aussi de nombreuses solutions se sont lancées sur ce marché, à l'image de GetQuanty qui permet de visualiser en temps réel le lead potentiel qui se cache derrière chaque visiteur en reliant son parcours sur votre site aux données socioprofessionnelles disponibles sur ce dernier.
« Chaque contact reçoit un score que l'on agrège sur une "demand unit" relative à son entreprise et qui permet de juger de son degré de maturité, de sa place dans le funnel et du type d'actions ou de contenus à mettre en place pour le faire progresser », explique Hervé Gonay, son CEO et fondateur.
D'autres solutions donnent plus de liberté aux commerciaux pour prospecter en adoptant une approche "data-driven" : chacune à sa façon, Sparklane, Datananas ou AiZimov scrutent le Web, les sites d'entreprises, les sites institutionnels ou les réseaux sociaux à la recherche d'informations et autres "signaux faibles". Elles permettent respectivement d'indiquer les entreprises susceptibles d'être intéressées par une solution, d'indiquer au sein de ces entreprises les personnes à contacter et enfin de les contacter via un mail rédigé automatiquement à partir d'informations personnalisées sur le destinataire ou l'actualité de son entreprise. Soit les bénéfices attendus d'une stratégie de social selling.
Social selling, quand le commercial se met au marketing Invité en octobre 2017 par Hootsuite à un petit-déjeuner consacré au sujet, j'ai pu assister au retour d'expérience de Myriam Perrozet, encore récemment digital manager au sein de La Poste Business, et rencontrer Koka Sexton, nommé en 2013 par Forbes expert n° 1 du social selling dans le monde. Selon lui, seulement 20 % des commerciaux utilisent à fond les possibilités du social selling, à savoir partager du contenu pour construire son image d'expert, identifier des prospects potentiels et les engager. La Poste a formé pour l'instant 800 commerciaux à ces pratiques, et a généré par ce biais deux millions d'euros de chiffre d'affaires depuis bientôt trois ans. L'an prochain, 700 nouveaux commerciaux seront formés. « Nous ne travaillons qu'avec des volontaires. Les plus avancés se forment aux questions de personal branding et disposent d'un compte sur LinkedIn Sales Navigator, Hootsuite et ByPath. Aux marketers de s'imbriquer avec les commerciaux et de les accompagner sur la réalisation des contenus en analysant la data pour voir les formats et les sujets à développer », explique Myriam Perrozet, rejointe par Koka Sexton qui livre les principales règles du social selling : « Le but du social selling est de passer d'une relation on line à une rencontre off line. Mais le plus important, c'est de rester authentique. » Pas question d'être un robot qui se contente de partager les contenus mis à disposition par l'entreprise via des outils de syndication et de gestion des réseaux sociaux comme Amplify (Hootsuite) ou Sociabble (Brainsonic). « Nous accompagnons Microsoft depuis cinq ans, avant même que cette notion soit formalisée. Les commerciaux n'ont pas attendu le social selling pour utiliser les réseaux sociaux dans une logique business : c'est un mix entre la prospection commerciale directe et le travail de notoriété », m'explique Mathieu Crucq, dg adjoint de Brainsonic, qui tente comme son concurrent de sensibiliser les entreprises au sujet. Reste pour elles à définir une stratégie de content marketing sur laquelle greffer le social selling, sans oublier leur stratégie de nurturing et de marketing automation en général. @CLEMFAGES
« Les marketers doivent
s'imbriquer avec
les commerciaux. »
76 %
des marketeurs font
du lead scoring.
76 %
73 % des décideurs attendent
d'un commercial qu'il connaisse
leur actualité et leurs besoins.
73 %
44 % des CMO pensent que le
rapprochement entre les ventes
et le marketing est bien engagé.
44 %
Interview Koka Sexton, ambassadeur de Hootsuite, ex-directeur social media de LinkedIn
m
Comment utiliser le social selling en lead management ? Les leads qu'on cherche à générer sont aussi des humains ! Ils sont plus enclins à croire ou à télécharger le contenu d'un pair que celui d'une marque. Ensuite vient le nurturing : comment engager un individu dans le funnel ? Le marketing a du mal à le faire à grande échelle, sauf à passer par des leviers comme l'e-mailing. Mais les commerciaux, dotés d'outils sociaux, peuvent avoir cette approche personnalisée.
Dans ce cas, quel est le rôle du marketing ? Les commerciaux ont besoin de contenus pour exister en ligne. Le marketing doit prendre le leadership sur la stratégie, et développer des
contenus assez vite et à une échelle suffisante pour garder les commerciaux engagés et être en phase avec le volume de leads de l'entreprise. Puis être au point sur l'analyse de la data.
Quel est l'intérêt de Hootsuite et de LinkedIn en social selling ? Hootsuite permet aux commerciaux d'identifier leurs prospects. Avec Amplify, ils accèdent aux contenus de l'entreprise, planifient leurs partages et observent les résultats. Depuis le rachat par Microsoft, LinkedIn commence à travailler en écosystème. On verra jusqu'où les mène cette ouverture, notamment en matière de partage des données !
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2017 Marketing
tous droits réservés
224 of 500 DOCUMENTS
Marketing
12 décembre 2017
Edition 1
Publicité : la télévision prête segment
AUTEUR: MÉGANE GENSOUS @MEGOUSTASTOU
RUBRIQUE: EXPERTISE; Pg. 62,63,64,66
LONGUEUR: 2294 mots
ENCART: Le petit écran nourrit de grandes ambitions vis-à-vis d'une possible modification de la législation autorisant les publicités ciblées, à l'instar de ce qui se fait sur le numérique. MÉGANE GENSOUS
w « Segmenter ou mourir. » Cette phrase, prononcée par le data evangelist Avinash Kaushik au sujet des web analytics, pourrait tout autant s'appliquer au marché de la publicité en télévision. Les éditeurs militent actuellement pour faire autoriser la publicité segmentée sur le petit écran (addressable TV en anglais). Grâce au nombre croissant de téléviseurs connectés à Internet (que ce soit via l'offre triple play des télécoms, les boîtiers OTT ou encore les smart TV), qui équipent 58 % des foyers français au premier semestre 2017 (Médiamétrie/CSA), les chaînes bénéficient d'une voie de retour qui offre notamment la possibilité de personnaliser le signal. Et par conséquent de diffuser des spots publicitaires avec un ciblage plus poussé que le simple contexte programme.
Si la législation actuelle oblige les éditeurs à diffuser un seul et même signal sur l'ensemble du territoire, les choses pourraient changer avec la consultation publique lancée par la DGMIC (direction générale des médias et des industries culturelles, qui dépend du ministère de la Culture), clôturée le 13 octobre dernier, portant sur un éventuel assouplissement des règles relatives à la pub en télévision. Les éditeurs n'ont pas attendu pour lancer leurs expérimentations : dès octobre 2016, TF1 Publicité testait la publicité segmentée sur la télévision de rattrapage via les box Orange, FranceTV Publicité lançait en mai 2017 son offre adressable.tv permettant de cibler 24 zones géographiques différentes grâce aux antennes locales de France 3, ou plus récemment NextRégie expérimentait deux premières campagnes ciblées sur BFM Paris.
Un engouement partagé par tout le marché qui se mobilise sous l'étendard du SNPTV pour faire avancer la cause, chacun défendant bec et ongles sa place de pionnier de la publicité segmentée. Mais quelles possibilités ouvre-t-elle au juste ? Potentiel marché de 200 millions d'euros 200 millions d'euros. C'est l'incrément de marché estimé par une étude du cabinet Demain menée à la demande du SNPTV en juin dernier en cas d'autorisation de la publicité adressée en télévision. « Ce qui représente 6 % de croissance sur un marché d'une valeur de 3,254 milliards d'euros [recettes publicitaires des médias sur l'année 2016, selon les chiffres de l'IREP], soit un petit marché néanmoins non négligeable », relève Nathalie Sonnac, membre du CSA en charge de ce sujet. Non négligeable, car « si la télévision a moins souffert que d'autres médias, le développement du marché de la publicité numérique a quand même une incidence sur son chiffre d'affaires », justifie Virginie Mary, directrice déléguée du SNPTV. En effet, en 2016, les investissements des annonceurs français dans la publicité en ligne ont dépassé pour la première fois ceux consacrés à la télévision. Pour autant, « ce potentiel marché ne se substituera pas à l'achat média classique en télévision mais le complétera », précise Laurent Bliaut, directeur général adjoint marketing et R & D de TF1 Publicité. Le marché voit donc dans la publicité segmentée un moyen d'aller chercher de nouveaux relais de croissance, mais pas seulement. Comme l'explique Virginie Marie, c'est « une opportunité globale pour l'ensemble du marché : une maximisation du coût GRP pour les éditeurs, une publicité plus efficace pour les annonceurs, une nouvelle façon d'exploiter les données des opérateurs télécoms ». En effet, sur les 58 % de téléviseurs français reliés à Internet, 80 % d'entre eux utilisent une box d'après l'étude réalisée par Médiamétrie pour le CSA au premier semestre 2017. La pénétration des FAI fait d'eux des partenaires de choix dans la mise en place de la publicité segmentée. D'autant que, comme l'explique Barbara Steinert, directrice générale adjointe de FranceTV Publicité, « la publicité segmentée reposera en partie sur la collaboration avec les FAI, car ils disposent de données riches sur les foyers abonnés qui peuvent être complétées par les données individuelles de leurs clients en téléphonie mobile ». Cependant, les autres acteurs ne doivent pas être écartés pour autant. « La consommation de la télévision par un service de contournement, ou OTT en anglais, qui propose une alternative à la diffusion du contenu, est en plein développement », relève Nathalie Sonnac. C'est pour cette raison que M6 Publicité a mis au point en septembre dernier une gamme "M6 Adressable", dont le premier produit permet d'insérer un format "display" sur le flux linéaire et en direct de 2 millions de télévisions connectées grâce à la technologie Smartclip de RTL Group pour en moyenne 1 à 2 millions d'impressions. De son côté, FranceTV Publicité s'appuiera sur l'opérateur hertzien TDF pour procéder à une nouvelle expérimentation sur France 2 et France 4 en ciblant Le Mans et Bordeaux en début d'année prochaine.
Pour l'instant, seuls les FAI et en particulier Orange font partie de « la réflexion commune et globale engagée par le SNPTV avec l'ensemble des régies publicitaires à leur demande », précise Virginie Mary. Comme le fait justement remarquer Guillaume Charles, directeur général adjoint de M6 Publicité, « la force du marché publicitaire de la télévision, c'est d'être bien structuré avec un syndicat, un mesureur unique, des outils d'audience et de bilan de campagne partagés ». Et d'ajouter : « La clé du succès de la publicité segmentée sera d'arriver à reproduire cette rigueur. » C'est dans ce contexte qu'éditeurs et télécoms sont rassemblés autour de la même table alors qu'ils s'opposent actuellement sur la question du partage des revenus issus de la diffusion des contenus, à l'instar du Groupe TF1 et de SFR qui ont finalement trouvé un nouvel accord après une bataille de près d'un an qui aura mené la Une à priver les abonnés SFR de la diffusion de ses chaînes en replay cet été. Compte tenu de leurs relations capitalistiques, NextRégie s'est appuyée sur les données issues des box dernière génération du FAI, mais le directeur marketing et revenue management de la régie, Frédéric Degouy, précise qu'à terme « le marché aura tout intérêt à une harmonisation du travail avec l'ensemble des opérateurs pour proposer un volume d'audience significatif ».
Au nom de la convergence Près de cinquante ans après avoir diffusé sa première publicité, la télévision française serait donc sur le point d'entamer une mue numérique décisive. Fin 2016, dans le cadre d'une étude sur les enjeux des nouveaux territoires publicitaires en télévision, le CSA s'étonnait de constater qu'« Internet est encore aujourd'hui considéré et mesuré essentiellement comme un support publicitaire à part entière, alors qu'il est en réalité de plus en plus intégré dans le coeur de métier de chacun des médias ». « La publicité segmentée réunira le meilleur des deux mondes, de la télévision et du numérique », résume Laurent Bliaut. Soit combiner les garanties de brand safety, de visibilité et de puissance du média de masse qu'est la télévision, à des logiques de ciblage pertinentes propres à la publicité numérique.
La grande promesse de la publicité segmentée est en effet d'aller au-delà des critères sociodémographiques classiques tirés du contexte de chaînes, de programmes et d'horaires et fournis par l'analyse du panel de Médiamétrie. TF1 Publicité travaille ainsi sur la définition de clusters de cibles plus fins, avec par exemple son GRP Quantités Achetées, qui varie la pression publicitaire en fonction du poids des acheteurs grâce au rapprochement des panels de Médiamétrie et Kantar Media. Guillaume Charles voit plus loin encore : « Grâce à la voie de retour de la publicité segmentée, les éditeurs pourront commencer à injecter de la data dans la consommation de la télévision, à l'instar de ce qui se fait sur la télévision de rattrapage [la plateforme 6play.fr recense 19 millions de profils logués] afin, pourquoi pas, de proposer du CRM onboarding avec les données des annonceurs. » D'autant qu'avec les données foyers (abonnement Internet) et individus (abonnement mobile) des FAI, la publicité segmentée laisse envisager la possibilité de parvenir à une audience individuelle de la télévision au lieu de l'audience panel, comme c'est le cas en ligne. La question de la protection des données est certes peu évoquée mais n'est pas mise de côté et les acteurs suivent de près RGPD et ePrivacy. « On préfère parler de publicité segmentée plutôt qu'adressée car on n'adresse pas une personne qu'on ne connaît pas », nuance la représentante du SNPTV.
Le rôle-clé de la géolocalisation De même, la publicité segmentée ouvre à la voie à de nouveaux KPI, alors que le drive-to-Web permet déjà d'analyser l'impact d'une campagne en télévision sur le trafic d'un site ou d'une application mobile. Cet été, lorsque NextRégie a diffusé pour Monoprix 27 copies publicitaires différentes à destination de 27 zones de chalandise différentes pour pousser une promotion en point de vente, « la campagne télévisée a pu être mesurée à l'aide de KPI numériques comme l'acquittement de chaque impression publicitaire et le taux de complétion des spots », détaille Franck Nicolas, directeur marketing adjoint de la régie. Du côté de M6 Publicité, l'offre M6 Adressable permet d'envoyer un format "recall" différent de la création originale aux individus ayant déjà été exposés à une annonce publicitaire, avec pour bénéfice d'augmenter la mémorisation de 12 %. Par conséquent, la commercialisation de la publicité segmentée semble tendre plus vers les pratiques du numérique que de la télévision : « Il est fort probable que les campagnes soient plutôt vendues au CPM qu'au coût GRP en raison de la logique d'adserving », confirme Guillaume Charles. Les éditeurs devront avant tout résoudre la question technique de mise en oeuvre de la publicité segmentée pour ouvrir ce marché.
Si elle ne faisait pas partie de la réflexion de départ du ministère de la Culture, la géolocalisation a été demandée à l'unisson par les groupes audiovisuels français, suivant les exemples de leurs confrères américains ou britanniques. Pour autant, « publicité géolocalisée ne signifie pas publicité locale », clarifie le directeur général adjoint de M6 Publicité. L'enjeu est plutôt de répondre à des problématiques de réseau, comme ce fut le cas pour Nissan, qui a testé cet été le dispositif de publicité segmentée sur BFM Paris pour cibler les zones géographiques où ses concessions sont présentes.
En parallèle, « le critère du ciblage géographique sera le plus structurant pour la publicité segmentée car il permettra à une nouvelle typologie d'annonceurs de venir en télévision, comme on l'observe déjà dans les pays les plus avancés sur la TV segmentée, comme le Royaume-Uni », indique Barbara Steinert. Ces primo-accédants, petits annonceurs, annonceurs locaux ou pure players, pourront en effet bénéficier d'une couverture locale et non nationale, et par conséquent moins coûteuse. Cependant, le coût GRP profitera de cette opération : « Si le ticket d'entrée sera plus réduit pour les annonceurs, le prix au contact, plus qualifié, augmentera », expose Franck Nicolas. En bref, « la télévision segmentée et la publicité en télévision classique pourront être utilisées soit par les mêmes clients pour satisfaire différentes problématiques, soit par de nouveaux clients jusqu'ici absents de la télévision, ce qui rend ces deux circuits complémentaires », dixit Laurent Bliaut.
Derrière la publicité segmentée, les éditeurs ambitionnent de lutter contre la toute-puissance des Gafa, qui grignotent également des parts de marché à la télévision. « Notre univers de concurrence en télévision, ce sont Google, Facebook et consorts, qui sont très présents auprès des petits annonceurs avec des offres très ciblées et peu coûteuses », relève Frédéric Degouy. Facebook dispose en effet de toute une gamme de produits pour les TPE/PME, à l'instar de sa plateforme d'e-learning en marketing digital et social media Blueprint qui compte déjà 1 million d'entreprises utilisatrices. « Lorsque la télévision aura des capacités de ciblage aussi fines qu'en ligne, les éditeurs pourront rivaliser avec la qualité d'exposition des Gafa » escompte le directeur marketing de NextRégie. Une bataille partagée par les autres médias - notamment la presse papier, qui s'est engagée dans une logique d'alliances autour de la data -, qui voient d'un mauvais oeil la possible arrivée de la publicité segmentée en télévision : les interprofessions de la presse papier, de la publicité extérieure et de la radio ont récemment fait part de leur inquiétude sur "la préservation du pluralisme et l'indépendance des médias".r @MEGOUSTASTOU
ZOOM Point législation
« Pour l'instant, la publicité segmentée en télévision n'en est encore au stade de l'expérimentation puisqu'il n'existe pas de loi l'autorisant », rappelle Nathalie Sonnac, membre du CSA. Quelle est la législation actuellement en vigueur ? La publicité en télévision est encadrée par plusieurs articles de loi, dont l'article 13 du décret 92-280 publié le 27 mars 1992 qui stipule que "les messages publicitaires doivent être diffusés simultanément dans l'ensemble de la zone de service". Mais, en août,
la DGMIC, qui dépend du ministère de la Culture, a ouvert une consul tation publique sur "la simplification des règles relatives à la publicité télévisée" pour réfléchir à certains assouplissements, du côté par exemple des secteurs interdits de publicité (boissons alcoolisées mais également cinéma) ou de la publicité segmentée. Après avoir recueilli les copies le 13 octobre 2017, le gouvernement devrait pouvoir faire de premières annonces en 2018. r
2018 Vers une autorisation de la publicité segmentée ?
2017 La DGMIC lance une consultation pour assouplir la législation de la publicité en télévision.
1968 L'ORTF diffuse la première pub française le 1er octobre.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2017 Marketing
tous droits réservés
225 of 500 DOCUMENTS
Marketing
12 décembre 2017
Edition 1
MARKETING DAY
RUBRIQUE: Pg. 72,73
LONGUEUR: 511 mots
Pour sa quatrième édition, le Marketing Day a réuni 720 professionnels du marketing au cours d'une journée de conférences et d'échanges, mais aussi sur les réseaux sociaux, l'événement ayant été notamment en Trending Topic France sur Twitter durant 9 heures. Retour en images de l'événement.
"Face au duopole Facebook et Google, l'heure est à la coopétition entre les éditeurs."
Sylvia Tassan Toffola (TF1 Pub et SRI) intervenait avec Sophie Poncin (Orange Advertising et SRI) et Julien-Henri Maurice (BazarChic) sur l'avenir de la pub digitale.
"Travailler différemment, acheter à la face pour du OOH utile, en affinité avec les cibles."
De la stratégie de médiaplanning à une stratégie d'audience planning pour Romain Dubois (Leroy Merlin) et Michel Van Der Veken (Exterion Media), à droite.
« Faites votre métier, le marketing c'est juste du bon sens ! » 8 workshops en simultané : o Comment monétiser sa data ? avec Eulerian Technologies et Easyvoyage o Le Digital Tracking avec Toluna o Optimisez la notoriété de votre marque avec des imprimés innovants avec Onlineprinters o Le contenu digital à l'heure de l'employee advocacy et du social selling avec Limber et Sophos o Choisir entre DMP et CDP avec Camp de Bases o RGPD toujours avec Sirius o Capitaliser sur la puissance des réseaux sociaux avec Sprinklr o Qui pour répondre aux questions des visiteurs en ligne ? avec iAdvize "Le Native In-Feed est un sujet à plus de 51 milliards de dollars. Mais encore une fois le duopole Google et Facebook reste une menace omniprésente."
Julien Theodose (Triplelift) et Philippe Framezelle (Adverline) ont exposé leurs stratégies d'optimisation des contenus publicitaires.
"Une mauvaise expérience client provoque en moyenne une baisse de 65 % des ventes l'année suivante, on dit qu'il faut 12 expériences positives pour en rattraper une négative." Juliette Guin (Wrike) avec Caroline Foucault (Comité régional du tourisme Région Hauts-de-France).
"Le Global Shopping en Chine, créé par Alibaba, c'est 140 000 marques pour 25,3 milliards de dollars de ventes (sur une journée). Le premier milliard de dollars atteint en deux minutes."
Laura Pho Duc (Alibaba Group) "RGPD, collecte de données, tout le monde est concerné. Éviter des amendes pouvant atteindre 20 M(EURO) (4 % du CA) et déteindre sur la réputation de marque." Darine Fayed (Mailjet) "La question de l'expérience client est devenue centrale du fait de la surabondance de l'offre." Sylvain Rabuel, directeur général du Club Med, a pris plusieurs mesures d'UX.
"Notre métier n'a de sens que s'il s'autorégule." Laurent Habib (AACC et Agence Babel), a exhorté les marques à exiger de la transparence.
"9 Français sur 10 ont entendu parler d'IA, 63 % disent ne pas l'utiliser... mais s'en rendent-ils compte vraiment ?" Laurent Blanc (Toluna) "Une campagne contextualisée obtient 43 % de bénéfices supplémentaires versus une campagne de masse."
Samantha Michaux (Cheetah Digital) "Pour les entreprises, le règlement de la Cnil n'est pas clair. Mais nul n'est censé ignorer la loi."
Christophe Cousin (Camp de Bases et Webedia)
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2017 Marketing
tous droits réservés
226 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 11 Décembre 2017
"Le marché des services de mobilité est indissociable de la protection des données personnelles"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Automobile
LONGUEUR: 875 mots
ENCART: Alors que la Nuit du Data Protection Officer a lieu ce mardi soir, le DPO France du groupe automobile évoque comment il se prépare à la mise en place du RGPD.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de Volkswagen France et de quelle direction dépendez-vous ? Charley Dupré est Data protection officer de Volkswagen France. © Volkswagen France
Charley Dupré (Volkswagen France). J'ai un parcours relativement atypique puisque j'ai suivi une formation en multimedia avant de me reconvertir dans le droit des affaires ! Notamment le droit des contrats et de la distribution tout en ayant une forte affinité avec l'univers des technologies de l'information. Je suis arrivé chez Volkswagen France en janvier dernier, puis j'ai été nommé Data protection officer (DPO) en septembre dernier pour m'occuper de la mise en ½uvre du futur RGPD. J'ai ensuite été nommé Data protection officer (DPO) en septembre dernier. Il se trouve que je connaissais bien l'écosystème de Volkswagen et de ses différentes marques (Volkswagen, Audi, Seat, Skoda). Par ailleurs, il faut aussi disposer d'une vision transversale (IT, marketing, juridique). Divers relais métiers (IT, marques, ressources humaines) sont prévus : entre une vingtaine et une trentaine de personnes seront prochainement mobilisées sur ces questions.
Au plan statutaire, je suis rattaché au service juridique avec deux référents : Luc Chausson, le directeur de l'innovation et des projets stratégiques qui connait très bien l'entreprise, et le directeur juridique de Volkswagen France. Au niveau du siège en Allemagne, je suis en relation avec une vingtaine de collaborateurs.
Quels sont les principaux enjeux de votre action au sein de Volkswagen France ?
À court terme d'effectuer une cartographie des données et des flux existants afin de se mettre en conformité avec le RGPD tout en priorisant les actions les plus cruciales. L'idée, c'est aussi d'optimiser la base relationnelle avec la clientèle et nos divers concessionnaires. Il y a aussi la question de l'utilisation des données à long terme, données longtemps sous-traitées aux concessionnaires. Il s'agit enfin d'enjeux de formation du réseau de distribution et des collaborateurs de Volkswagen France.
Quelles premières mesures avez-vous prises à votre arrivée ?
Nous avons notamment effectué un audit interne avec un cabinet d'avocats spécialisés, le cabinet Alain Bensoussan, où nous avons interrogé 130 personnes en interne. Une fois cet audit lancé, il a fallu informer les collaborateurs sur la dimension "business", leur expliquer la place et le rôle d'un DPO et faire remonter les informations nécessaires. Il a fallu faire beaucoup de pédagogie et expliquer que le RGPD n'aurait pas un impact considérable sur les ventes de véhicules. Mais il faut voir aussi que nous sommes à un tournant et que l'enjeu du véhicule connecté est considérable pour une entreprise comme la nôtre. Ces nouveaux services de mobilité sont supervisés par notre maison-mère qui prend ces sujets cruciaux et stratégiques très au sérieux.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
C'est actuellement en discussion et cette réflexion n'a démarré qu'en octobre dernier. Le plan d'action dont l'élaboration a pris plus de temps que prévu devrait être finalisé fin décembre 2017.
Quelle utilisation spécifique faites-vous des données dont vous disposez ?
Comme toute entreprise, ces données nous servent à la relation-client sur des durées souvent très longues, de dix à vingt ans. Cette relation à long terme concerne notamment l'usage et l'entretien du véhicule. Nous réfléchissons actuellement à la manière dont nous conserverons ces données sans être intrusifs vis-à-vis de nos clients. Nous avons aussi une réflexion sur les nouveaux process d'après-vente compte-tenu de l'émergence de nouvelles applications prometteuses en matière de maintenance prédictive et de détection des pannes. C'est un domaine où tout reste à inventer et à faire. Les technologies sont là mais il faut convaincre le public de leur intérêt. Ce que nous devons inventer, c'est une sorte d'assistance prédictive à la conduite. C'est l'une des spécificités du secteur. Nous sommes un peu comme dans les années 2005/2006 juste avant l'arrivée des premiers smartphones...
Quels sont vos principaux chantiers à venir ?
D'abord la mise en ½uvre des process indispensables à la conformité avec le RGPD en vérifiant que les procédures actuelles sont bien conformes à la loi informatique et libertés, sachant que jusqu'à présent l'univers de la data n'était pas véritablement prioritaire dans le groupe. Ensuite, il s'agira de remettre à plat nos relations contractuelles avec nos clients, nos fournisseurs, notre réseau de distribution, etc. Enfin, nous n'oublions pas les données concernant nos collaborateurs ni le volet nouvelles technologies. Ce qu'il faut bien comprendre, c'est que nous sommes à la veille d'un réel changement de paradigme avec le basculement d'un achat de véhicules à un marché organisé autour de services de mobilité. Un univers indissociable de la protection des données personnelles de nos clients.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 12 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
227 of 500 DOCUMENTS
Les Echos Executives
lundi 11 décembre 2017
Protection des données personnelles : la menace peut aussi venir de l'intérieur
AUTEUR: FLORENT VAIRET
RUBRIQUE: ARTICLE; Un certificat d'identité; Pg. 5 N°. 22590
LONGUEUR: 565 mots
ENCART: Le groupe Lagardère entend être fin prêt le 25 mai 2018, jour d'entrée en vigueur du règlement général sur la protection des données. Priorité : encadrer l'utilisation des données par ses collaborateurs.
Chez Lagardère, 80 % des données sont manipulées par des salariés. L'entreprise, qui met déjà tout en oeuvre pour se prémunir des cyberattaques, a donc dû entreprendre une politique d'encadrement de l'utilisation des données personnelles par ses collaborateurs. Elle n'a pas le choix : l'échéance de mise en conformité avec le règlement général sur la protection des données (RGPD) est fixée au 25 mai 2018.
Jusqu'alors, en matière de traitement des données personnelles de leurs clients, les entreprises devaient les déclarer et en demander les autorisations aux autorités régulatrices - la CNIL en France. Le RGPD change le paradigme. La conformité sera désormais fondée sur la transparence et la responsabilisation des acteurs. En d'autres termes, la CNIL explique que « les responsables de traitements devront mettre en oeuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles ».
Un certificat d'identité
Nombre d'entreprises traumatisées par des ransomwares - Petya, WannaCry, etc. - construisent une forteresse informatique pour se protéger des pirates, sous-estimant les risques en interne. Or, sans être malintentionnés, des salariés manipulent des données personnelles, les transportent de fichier en fichier et créent sans le savoir l'une des principales failles de sécurité. Pour se prémunir, Lagardère a choisi d'utiliser les certificats d'IDnomic, une entreprise française spécialiste de l'identité numérique. Le certificat, associé à une personne, donne à cette dernière accès à des fichiers sensibles et l'oblige à chiffrer les données manipulées. « Dans le cas d'une base de données partagée entre plusieurs salariés, seuls ceux qui se présentent avec le certificat peuvent y accéder. Ils sont ainsi autorisés à extraire des données, mais de manière chiffrée et sécurisée », explique Thierry Auger, responsable de la sécurité des systèmes d'information de Lagardère. « Sensibiliser l'utilisateur final avec des chartes informatiques et des formations est indispensable. » Car la technologie a beau contribuer à protéger les données, une politique de sécurité restera inefficiente si elle ne s'adresse pas aux salariés.
En cas de fuite de données, l'entreprise doit prouver auprès de la CNIL qu'elle a tout mis en oeuvre pour les protéger. Certains responsables de la sécurité vont donc jusqu'à expérimenter la surveillance informatique de leurs salariés. « Utiliser des données biométriques ou la géolocalisation, mais aussi tracer les heures de connexion, les mouvements de souris ou encore analyser la manière de taper sur un clavier sont autant de moyens pour détecter des comportements suspects », affirme Julien Cassignol, ingénieur technique chez Balabit, société spécialisée dans la sécurité informatique.
Toutes les entreprises ne seront pas prêtes dès mai 2018. Si les grands groupes ont les moyens d'anticiper la mise en conformité, au dire d'experts, les PME et ETI montreraient des signes de retard. Le groupe Lagardère considère l'échéance du RGPD comme l'occasion d'étendre certains process et bonnes pratiques au reste de l'entreprise. « Le règlement européen permet d'éveiller les consciences à l'importance de la sécurité. La sensibilisation est essentielle car si une seule personne ne la respecte pas, tout est mis en l'air ! » conclut Coralie Héritier, directrice générale d'IDnomic.
DATE-CHARGEMENT: 12 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
228 of 500 DOCUMENTS
DAF Magazine
9 décembre 2017
Edition 1
La géolocalisation et la vie privée des salariés
RUBRIQUE: JURIDIQUE; Pg. 26,27,28
LONGUEUR: 1633 mots
ENCART: Si la géolocalisation des véhicules des flottes peut être négociée en fonction de l'activité de l'entreprise, celle-ci doit garantir la vie privée des conducteurs. Or, l'arrivée sur le marché des voitures connectées va mettre leurs utilisateurs un peu plus sous surveillance. Dilemme ?
C'est à Roland-Garros, en mai dernier, que la géolocalisation a donné une illustration "grand public" de son intérêt pour la gestion d'un parc de véhicules. À l'occasion des Internationaux de France de tennis, Peugeot avait ainsi mis 230 véhicules à la disposition de la Fédération française de tennis pour assurer les déplacements des officiels, des VIP, mais surtout des 700 joueurs engagés dans ce tournoi. Et pour gérer ce parc, Ocean, filiale d'Orange Business Services, s'est associée à Peugeot pour mettre en oeuvre ses solutions de gestion des véhicules en temps réel. Grâce à l'application GéoMissions, le gestionnaire du parc de Roland-Garros a ainsi pu interagir avec le chauffeur le plus proche du lieu de collecte des joueurs attendus sur les courts. Une fois l'ordre de course envoyé en temps réel au chauffeur, celui-ci était alors guidé jusqu'au lieu de prise en charge. De son côté, le passager était également informé de l'heure d'arrivée du véhicule. « Ce partenariat a permis, pour la première fois, une duplication à titre expérimental des informations des courses du smartphone sur l'écran de navigation des modèles Peugeot affectés à ces missions. Les courses ont ainsi été gérées en toute sécurité par les chauffeurs », explique Olivier Picard, directeur général d'Ocean.
Une expérimentation au timing parfait : au cours de ces derniers mois, les flottes d'entreprises ont dû se mettre en conformité avec la norme n° 51 édictée par la Cnil, norme qui régit l'utilisation de la géolocalisation d'un véhicule de façon à garantir davantage l'équilibre entre le respect de la vie privée des collaborateurs qui utilisent les véhicules et les besoins de gestion des flottes d'entreprise.
UN MODE PRIVÉ ET UN MODE "PRO" ! La géolocalisation en temps réel de sa flotte permet à une entreprise de connaître en permanence la position de ses véhicules et de pouvoir détourner un conducteur de son trajet pour l'orienter vers une mission urgente proche de sa zone d'intervention. La Cnil imposant que les salariés aient la possibilité de désactiver la fonction de géolocalisation des véhicules, en particulier à l'issue de leur temps de travail ou pendant leurs temps de pause, un mode "vie privée" doit être accessible par tous les conducteurs. Ainsi, le salarié peut désactiver l'envoi de ses données de géolocalisation qui précisent sa position géographique pendant ses trajets domicile /travail ou pendant sa pause déjeuner. Toutefois, son employeur continuera à avoir accès au nombre de kilomètres parcourus, même pendant cette période de désactivation. Comme le souligne Sylvie Forte, directrice marketing et communication d'Ocean, « la géolocalisation peut être rejetée par les salariés. Aussi l'entreprise doit-elle informer à l'avance ses collaborateurs des objectifs poursuivis et présenter un projet qui soit clair. La Cnil offre un cadre qui explique bien les finalités de la mise en place de cet outil. Surtout, le système de désactivation de la géolocalisation entre temps de conduite "pro" et temps privé rassure les collaborateurs ». TomTom, connu pour ses systèmes de navigation, développe également des solutions de gestion de flotte permettant d'identifier le conducteur, de consigner les kilométrages réalisés à titre privé ou professionnel, d'enregistrer le temps de travail de chaque salarié et de donner la possibilité aux conducteurs d'améliorer leurs performances de conduite grâce à des indications visuelles et sonores.
Comme l'explique Cécile Cadoux, marketing manager France de TomTom Telematics, « l'offre de base, c'est une information permettant de positionner les véhicules, de planifier les itinéraires et de repérer les véhicules disponibles pour une intervention d'urgence. S'ajoute la solution d'écoconduite Optidrive 360 qui comporte l'enregistrement en temps réel de huit indicateurs de conduite tels que les temps d'arrêt moteur tournant, les passages de vitesses, etc. Avec ces données communiquées, nous enregistrons dans les flottes de nos clients 15 % d'économie de carburant grâce au suivi des véhicules ainsi qu'une baisse de la sinistralité résultant du suivi des modes de conduite ». Cet opérateur propose aussi des solutions ouvertes aux outils de gestion de parc de ses 48 000 clients. « TomTom Telematics travaille avec 350 éditeurs dont les solutions sont interfacées avec Webfleet ; les remontées de données en matière de temps de travail peuvent être interfacées au logiciel RH de nos clients, pour l'édition des fiches de paie par exemple. De même, des applications métiers peuvent être intégrées à la tablette liée au véhicule et à son conducteur », explique Cécile Cadoux.
LA GESTION DE TOURNÉE DES VÉHICULES ÉLECTRIQUES Nouvelle venue, la start-up Antsway vient de lancer son logiciel d'optimisation de tournées pour véhicules électriques. Baptisé AntsRoute, celui-ci peut s'intégrer à des outils métiers existants et est accessible en mode SaaS. Selon Marc Grojean, CEO d'Antsway, ce logiciel se veut opérationnel et tourné vers la gestion de parc à partir de quatre modules : -prise de rendez-vous intégrant les contraintes de volume, d'horaire et de compétence technique des livreurs ; -création de tournées avec la prise en compte des contraintes des véhicules électriques ; -application mobile destinée au technicien sur le terrain ; -les indicateurs de gestion pour la flotte. Ce logiciel permet aussi à une entreprise de construire sa flotte "idéale" en fonction des historiques de parcours et des lois de roulage. Cette solution permet de définir dans une flotte donnée combien de véhicules électriques pourraient intervenir et donc de connaître le potentiel électrique d'une flotte.
DES DONNÉES POUR DES TABLEAUX DE BORD PERSONNALISÉS Comme l'explique Amandine Christolhomme, responsable marketing France de Fleetmatics, « notre solution de géolocalisation en mode SaaS répond aux besoins des flottes qui souhaitent optimiser la gestion de leur parc et qui recherchent une plus grande visibilité de l'utilisation de leurs véhicules, des modes de conduite et de leur entretien. Souvent, leur problématique se situe dans la gestion des urgences et dans la nécessité de réorienter le véhicule le plus proche d'un lieu d'intervention. » D'où, dans les véhicules, un boîtier télématique accompagné d'un accéléromètre, d'un GPS et d'une carte SIM pour la remontée des données. Cela permet de faire des analyses par véhicule et par conducteur, de suivre les alertes entretien et d'identifier les modes de conduite, notamment les comportements à risque. À partir des données recueillies, chacun dans l'entreprise peut bâtir son tableau de bord, qu'il s'agisse du chef d'entreprise, du gestionnaire du parc, du responsable des opérations ou des ressources humaines pour l'édition des fiches de paie avec la remontée des temps de travail. Si la géolocalisation a déjà fait des adeptes, il ne fait pas de doute qu'avec l'arrivée désormais des voitures connectées, les informations sur la conduite des véhicules vont amplement se généraliser. o
« Pour les véhicules électriques, AntsRoute intègre la prise de rendez-vous, la création de tournées, une application mobile et des indicateurs de gestion pour la flotte. » MARC GROJEAN, CEO D'ANTSWAY
CNIL ou RGPD, la protection des données sous surveillance En matière de fleet management, et notamment de géolocalisation, quelles précautions supplémentaires doivent prendre les entreprises pour être en conformité avec les règles européennes du RGPD ? Il n'existe pas de dispositions spécifiques dédiées au fleet management et à la géolocalisation en tant que tels dans le RGPD. En revanche, toutes les nouveautés du RGPD s'appliqueront, à compter du 25 mai 2018, aux traitements de données à caractère personnel réalisés dans le cadre du fleet management. Les entreprises, en leur qualité de responsable de traitement, devront notamment formaliser des politiques de gestion des données à caractère personnel et en contrôler leur effectivité (principe d' "accountability"). Signalons aussi la nécessaire mise en place de dispositifs de notification à la Cnil et aux personnes concernées des failles de sécurité entraînant une violation de leurs données à caractère personnel, notification qui n'était jusqu'alors imposée qu'aux fournisseurs d'accès à Internet et aux opérateurs d'importance vitale.
Quelles différences notables existent-ils entre les obligations fixées par la Cnil pour le respect des données et celles du RGPD ? Le RGPD ne change pas fondamentalement le régime juridique fixé jusque-là par la Cnil en matière de fleet management. Ainsi, les textes relatifs à la gestion des données de géolocalisation. Ces textes pourraient toutefois être révisés pour intégrer les nouveautés du RGPD, notamment les nouveaux droits des personnes dont les données sont traitées : droit à la portabilité, consentement exprès et spécifique, etc.
Cette protection des données personnelles va-t-elle s'étendre à l'utilisation de voitures en autopartage dans l'entreprise ? Oui, et à ce titre, un pack de conformité relatif aux véhicules connectés est en cours d'élaboration par la Cnil en concertation avec les acteurs du secteur. Il constituera un référentiel pour l'utilisation des données à caractère personnel collectées via les véhicules. À ce stade, trois scénarios ou hypothèses de travail prenant en compte les flux de données à partir du véhicule ont d'ores et déjà été dégagés : -"in-in", hypothèse selon laquelle les données collectées dans le véhicule ne sont pas transmises à l'extérieur ; -"in-out", correspondant à la situation selon laquelle les données collectées dans le véhicule sont transmises à un prestataire pour traitement ; -"in-out-in", lorsque les données collectées dans le véhicule sont transmises à un prestataire, pour ensuite déclencher une action dans le véhicule.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DAF
Copyright 2017 DAF Magazine
tous droits réservés
229 of 500 DOCUMENTS
DAF Magazine
9 décembre 2017
Edition 1
25 DAF QUI ACCOMPAGNENT LA FORTE CROISSANCE
RUBRIQUE: DOSSIER; Pg. 30,31,32,33,34,35,38,39
LONGUEUR: 6125 mots
CHIFFRE D'AFFAIRES INFÉRIEUR À 30 MILLIONS D'EUROS LAURENT NIEDERST DAF D'ENVIE DE FRAISE (distribution e-commerce) Âge : 38 ans. Effectif managé : 6 personnes (sur un effectif total de 42 salariés).
Vie associative : Membre de la DFCG depuis 2017, ancien membre de l'ACSEL et de la Fevad (2008-2011).
Projet marquant : Positionner la fonction finance comme un partenaire des opérationnels au quotidien, avec comme mission-clé l'accompagnement du projet entrepreneurial qui caractérise Envie de Fraise depuis sa création.
spéciaau Diplômé de Sciences Po Strasbourg (2001) puis de l'Edhec Lille (2003), Laurent Niederst s'est initialement positionné comme contrôleur de gestion avant de devenir progressivement manager puis, depuis 2015, directeur financier. Sa curiosité le pousse à exercer dans des secteurs très divers : AstraZeneca puis Xerox, Darty.com, Le Coq Sportif et, depuis 2017, Envie de Fraise, entreprise spécialisée dans le prêt-à-porter pour femmes enceintes, au sein de laquelle il occupe la fonction de Daf. Dans cette petite entreprise en forte croissance (+ 50 % de chiffre d'affaires par an depuis sa création en 2006, et doublement des effectifs en trois ans), Laurent Niederst a des fonctions très larges puisqu'il s'occupe de la finance, de la comptabilité, de la trésorerie, du contrôle de gestion, mais aussi des achats, du juridique, des RH et de la logistique.
Objectifs 2018 /2019 Réussir la structuration d'Envie de Fraise, qui a commencé à l'été 2017 une nouvelle phase en se rapprochant de MK Direct, holding qui regroupe les enseignes Linvosges et Françoise Saget, dont l'actionnaire de référence est Eurazeo.
CÉDRIC BERTHET DAF DE SUBLIME SKINZ (Adtech) Âge : 35 ans. Effectif managé : 6 collaborateurs (sur un effectif total de 110 salariés).
Projets marquants : Mise en place d'un ERP ; dématérialisation des factures fournisseurs ; automatisation des reportings /suivi budgétaire ; mise en place de l'affacturage (gestion de cycles de vente semi-longs).
Prix reçu : Sublime Skins a décroché la 19e place du palmarès Deloitte Fast 50 2017.
19 Diplômé de Grenoble EM (2006), Cédric Berthet commence par deux saisons d'audit sur les mid caps avant de se charger du contrôle de gestion de Deezer. Depuis 2015, il occupe la place de Daf au sein de la société Sublime Skinz. Sa mission : structurer les services comptables et RH dans un cadre d'hypercroissance et d'internationalisation. Objectifs 2018 /2019 Internationalisation de la structure avec notamment des ouvertures de filiales ; développer une culture chiffres et mettre les bonnes données à disposition des opérationnels.
AMÉLIE REDON GROUP CFO DE S4M (nouvelles technologies) Âge : 39 ans. Effectif managé : 12 personnes (sur un effectif total de 154 salariés).
Vie associative : Fait partie du réseau BPI Excellence /Pass French Tech Prix reçus : Révélation de l'année région Île-de-France, Deloitte Fast 50 2015. La société a également été classée 272e sur 1 000 par le Financial Times (Europe's Fastest Growing Companies) et couronnée "meilleure croissance de l'année" par PwC/Tech in France (Top 100 du Digital 2017). Amélie Redon a été nominée au Women in Finance Awards 2017 (catégorie : Best CFO of the year).
Projets marquants : Financement (levée de fonds de 5 millions d'euros, mise en place de facilité de caisse, etc.) ; croissance externe, structuration du groupe avec l'ouverture de 7 filiales (4 à l'international) et de 3 bureaux européens /américain ; mise en place de toute la corporate governance.
Après des études à l'ICN (1998-2001), Amélie Redon travaille dans le M&A, principalement en private equity à Londres et à Paris sur des projets paneuropéens et asiatiques. En 2007, elle prend la tête de la direction des opérations d'Unibail-Rodamco. Depuis 2010, elle accompagne des start-up dans leur développement : tout d'abord KYO Advisory puis, depuis 2014, S4M. En charge de la finance (incluant la comptabilité et le contrôle de gestion), des ressources humaines, du juridique et de la compliance, des SI de gestion, des relations avec les institutions financières et les investisseurs et des services généraux, elle structure la croissance de S4M, qui est passée de 6,5 millions d'euros de CA en 2014 à 16,1 millions d'euros et de 10 à 155 employés à date.
buer Objectifs 2018 /2019 Continuer à contribuer à la croissance de S4M (dépasser la barre des 100 millions d'euros de CA et les 200employés) tout en gardant l'esprit de "famille", collaboratif et bienveillant, qui sait attirer et retenir les meilleurs talents ; organiser une nouvelle opération sur le capital (levée, exit, IPO ?).
LAURENT GUESTIN DAF D'INEAT GROUP (prestations informatiques) Âge : 33 ans. Effectif managé : 6 personnes (sur un effectif total de 230 salariés).
Vie associative : Souhaite développer un club des Daf dans la zone d'Euratechnologie à Lille.
Projets marquants : Mise en place du contrôle de gestion ; obtention du Pass French Tech cat. 3 (qui a permis d'obtenir un financement bas de bilan via Bpifrance) ; acquisition de Phoceis, groupe basé sur Lille, qui possède des entités en Asie (2017).
Après un master 2 CCA, comptabilité et finance, Laurent Guestin a occupé le poste de collaborateur comptable chez KPMG pendant sept ans. Il a passé une année chez Demathieu Bard comme responsable comptable avant de rejoindre, en 2016, Ineat Group au poste de Daf. Son périmètre : la comptabilité, le contrôle de gestion, le conseil en stratégie d'entreprise et la relation avec les tiers. De quoi accompagner la croissance de son entreprise (+ 70 % en 4 ans). D'autant plus que l'objectif à horizon 2020 est de doubler l'activité et l'effectif.
mètre Objectifs 2018 /2019 Harmonisation des process avec la société nouvellement acquise Phoceis ; levée de fonds ; croissance internationale (Montréal) ; accélérer le livrable des reportings mensuels ; renforcer l'équipe administrative.
CHARLES TENOT GLOBAL VP FINANCES & OPERATIONS DE BOTIFY (logiciel SaaS) Âge : 30 ans. Effectif managé : 2 personnes (sur un effectif total de 70 salariés).
Projets marquants : Utilisation du CRM (Salesforce) comme "single source of truth" de l'entreprise en développant un outil de devis jusqu'à la facturation complètement intégré ; mesure et structuration de la société autour des indicateurs-clés d'une société SaaS.
Diplômé de l'ESSCA, Charles Tenot a débuté dans le conseil. Il passe six ans à travailler dans l'audit financier et transaction services chez Ernst & Young avant de rejoindre Allianz au poste d'Operations Performance Manager. Depuis 2016, il est Global VP Finances & Operations de Botify. À ce poste, il est en charge de la finance, de la comptabilité, du contrôle de gestion, du juridique, de la stratégie et des opérations, et veille surtout à soutenir la croissance de Botify, dont le chiffre d'affaires est passé de 1,6 à 2,9 millions d'euros de 2015 à 2016. Objectifs 2018 /2019 Structuration opérationnelle avec la mise en place des reportings interactifs sur le CRM afin d'aider les équipes opérationnelles à piloter leur activité au quotidien ; continuer à développer une culture financière naissante à travers un outil permettant le partage du suivi de budget avec les managers.
GEORGES DENIAU DIRECTEUR GÉNÉRAL ADJOINT EN CHARGE DE LA FINANCE DE CROSSCALL (constructeur de téléphones mobiles) Âge : 47 ans. Effectif managé : 14 personnes (sur un effectif total de 100 salariés environ).
Prix reçus : Crosscall a obtenu pour la 3e année consécutive un Prix Deloitte Technology Fast 50 (2015 et 2016 : 1er prix régional et 1er prix sectoriel ; 2017 : 3e prix régional) et a remporté en 2017 le Prix EY Born Global du Développement International, ainsi que le Grand Prix des Entreprises de Croissance. Georges Deniau a été finaliste du Trophée DFCG en 2016.
Projet marquant : Mise en place d'un ERP en 2014-2015 et structuration financière (haut de bilan, levée de fonds et emprunt bancaire) en 2015 et 2016, puis de nouveau en 2017 pour augmenter les fonds propres (nouveau tour de table en cours).
Diplômé de Kedge BS Marseille (1994), Georges Deniau réalise une grande partie de sa carrière au sein du groupe ONET (de 2001 à 2010) où il occupe plusieurs postes (contrôleur de gestion central groupe, responsable de l'audit interne et de la croissance externe) avant de devenir le secrétaire général de la division intérim et recrutement du groupe, puis administrateur de la société de management du groupe ONET. En 2010, il décide de voler de ses propres ailes et crée une société de conseil. Avant de rencontrer Cyril Vidal, le créateur et actuel président de Crosscall, qu'il suit dans son aventure entrepreneuriale à partir de 2013, tout d'abord comme Daf externalisé puis, depuis 2014, comme salarié cadre dirigeant à temps plein. Une formidable aventure tant la croissance de Crosscall est exponentielle : + 145 % en 2015, + 92 % en 2016 et + 83 % au 31 mars 2017.
Objectifs 2018 /2019 Mettre en place les conditions de l'internationalisation amont et aval de Crosscall : création de filiales en Asie et en Europe, mise en place des structures, des process et des financements correspondants.
CHIFFRE D'AFFAIRES COMPRIS ENTRE 30 ET 50 MILLIONS D'EUROS VALÉRIE DUPOUY DAF D'ENERCOOP (fourniture d'électricité) Âge : 53 ans. Effectif managé : 9 personnes (sur un effectif total de 100 salariés).
Projets marquants : Deux levées de fonds significatives en 2016 et 2017 pour un total de 7 millions d'euros ; structuration de la DAF ; création du poste de contrôle de gestion ; mise en place d'un suivi budgétaire fin ; supervision d'un déménagement.
Diplômée d'un IAE (1987) puis d'un DSCG (2017), Valérie Dupouy a débuté chez Securitas comme contrôleuse de gestion. Elle évolue aux postes de directrice d'un centre profit et responsable qualité avant de diriger une entreprise d'insertion (Envie). Elle se réoriente ensuite vers des fonctions transverses et devient secrétaire générale de Mensia Conseil. Depuis 2015, elle est Daf d'Enercoop, société du secteur de l'énergie en forte croissance (+ 60 % du CA entre 2015 et 2016, sans croissance externe). Croissance qu'elle accompagne en prenant en charge la finance, la comptabilité, le contrôle de gestion, les services généraux, les achats et le juridique.
Objectifs 2018 /2019 Développer le contrôle de gestion et mettre en place des outils comptables et de gestion communs aux dix coopératives du réseau Enercoop.
THOMAS SACCONE CFO DE VITALLIANCE (service à la personne) Âge : 45 ans. Effectif managé : 12 personnes (sur un effectif total de 3500 salariés).
Projets marquants : Opération de croissance externe, réorganisation de la fonction finance et optimisation des process internes.
Après des études à l'ESSCA (spécialisation finance), Thomas Saccone réalise une grande partie de sa carrière chez Legrand (1999 à 2011), comme contrôleur de gestion, auditeur interne et enfin Daf d'une filiale étrangère. Il réalise ensuite plusieurs missions de management de transition avant de rejoindre Vitalliance en 2016 en tant que CFO. À ce poste, il oeuvre surtout à optimiser les process internes, grâce notamment à l'automatisation, dans le but de faire monter en puissance la fonction finance sur la mise en place d'analyses de gestion pertinentes permettant des prises de décision rapides. Ce qui est selon lui essentiel dans un contexte de croissance. Il participe également à la première opération de croissance externe du groupe, qui est en train de se boucler.
Objectifs 2018 /2019 Investissement massif sur des opérations de croissance externe afin d'optimiser le maillage territorial ; bascule du logiciel finance.
PATRICK GENTIL DAF DE PREMIER TECH AQUA SASU (assainissement des eaux usées, traitement de l'eau, stockage et récupération d'eau de pluie) Âge : 54 ans. Effectif managé : 21 personnes (sur un effectif total de 200 salariés en France et 3 800 dans le monde). Projets marquants : Simplification des structures juridiques (huit sociétés regroupées en une sur deux années) ; implantation d'un ERP commun aux structures Premier Tech Aqua et rationalisation des informations de pilotage.
Doté d'une maîtrise de science et technique d'économie et de gestion du Sport (Paris-Dauphine) et d'un diplôme du centre de perfectionnement aux affaires de l'EM Lyon, Patrick Gentil a passé neuf années chez Astra Calvé (Unilever) à des fonctions de crédit manager et de contrôleur financier, puis 14 ans au sein du groupe anglais Rexam à des postes de direction financière. Aujourd'hui Daf de Premier Tech Aqua (filiale française d'Environmental Technologies Group), Patrick Gentil veille à accompagner la croissance de son entreprise, qui a connu une croissance régulière en France et est passée de 17 M(EURO) en 2010 à 50 M(EURO) facturés en 2017. Pour cela, il se focalise sur des enjeux d'agilité des organisations, de fiabilisation des outils et de perception des nuances déterminantes dans l'information collectée et produite, afin de donner à sa direction la capacité à identifier, choisir et éventuellement saisir rapidement les opportunités lorsqu'elles se présentent. Il se soucie par ailleurs des capacités d'autofinancement de son entreprise. Objectifs 2018 /2019 Accompagner au mieux la croissance et le développement de Premier Tech Aqua en Europe.
FABRICE SANA CFO D'ATEME (logiciels) Âge : 45 ans. Effectif managé : 6 personnes (sur un effectif de 230 salariés au total).
Prix reçu : Lauréat 2017 du prix de l'introduction en Bourse ("Les champions de la Bourse" Investir/Les Échos).
Projets marquants : Introduction en Bourse en 2014 ; ouverture de filiales (USA, Singapour, Japon) ; mise en place d'un ERP.
entrecroissance Diplômé de l'EBS (option finance) et d'un master en management (Essec), Fabrice Sana a commencé sa carrière chez Alstom Transport en contrôle de gestion et direction financière à l'international. Il évolue ensuite dans le monde du conseil chez Arthur Andersen /BearingPoint avant de prendre la direction financière d'Ateme en 2007. Cette entreprise de logiciels connaît une forte croissance (+ 31 % entre 2015 et 2016) que Fabrice Sana soutient en menant différents chantiers (cf. projets). Chargé de la finance, de la comptabilité, de la trésorerie, du contrôle de gestion, du juridique, de la communication financière et de la relation investisseurs, il a pour ambition de continuer dans le futur à accompagner la forte croissance de son entreprise.
Objectifs 2018 /2019 Améliorer les outils de pilotage.
CÉCILE CASTEL DAF DE SIDEV (négoce de produits audiovisuels) Âge : 48 ans. Effectif managé : 4 personnes (sur un effectif de 48 au total).
Projet marquant : La gouvernance d'entreprise ! Les équipes commerciales et des achats ont été formées afin d'avoir des pratiques éthiques. Avec un double objectif : éviter de se retrouver au coeur d'affaires troubles et avoir un avantage concurrentiel. La démarche éthique touche également aux ressources humaines : les hommes et les femmes qui occupent un poste égal ont un salaire égal, par exemple. Et Sidev consacre 40 000 euros par an à la formation.
Daf de Sidev depuis 2016, Cécile Castel a auparavant travaillé pendant 14 ans chez BP, groupe auprès duquel elle a appris le goût des indicateurs. Une bonne habitude qui lui a permis d'accompagner le dynamisme de sa nouvelle entreprise : Sidev réalise en effet une croissance annuelle de 30 %. Ainsi, des reportings à l'anglo-saxonne ont été mis en place, avec des tableaux de bord réguliers. La Daf a également beaucoup travaillé sur le credit management : le matériel vendu par Sidev est en effet coûteux et les impayés peuvent donc être dommageables. Pour cela, au-delà des outils d'analyse, une proximité a été créée avec les clients.
Objectifs 2018 /2019 Mener à bien le projet RGPD afin d'être en conformité avec les lois européennes ; digitalisation de l'entreprise avec l'instauration d'un ERP.
JONATHAN CONSOLO CFO D'AC ENVIRONNEMENT (diagnostic immobilier) Âge : 39 ans. Effectif managé : une dizaine de personnes (sur un effectif d'environ 500 salariés au total).
Projet marquant : Amélioration du reporting et de l'information financière, de la consolidation et de l'analytique métier et agences.
Diplômé de l'EM Lyon, Jonathan Consolo a travaillé sept ans chez PwC avant de cofonder Advance Capital, un cabinet spécialisé dans la réalisation de due diligences financières. Depuis 2016, il est CFO d'AC Environnement, société de diagnostic immobilier qui a réalisé un chiffre d'affaires de 45,5 millions d'euros en 2016 (+ 38 % vs 2015). Après s'être développée de manière uniquement organique, la société a désormais des projets de croissance externe, que Jonathan Consolo va accompagner au plus près.
Objectifs 2018 /2019 Poursuivre le développement du groupe avec une composante de croissance externe plus importante.
MONG-TRANG SARRAZIN DAF DE DOCTOLIB (prise de rendez-vous médicaux en ligne) Âge : 36 ans. Effectif managé : 16 personnes (sur un effectif total de 380 salariés).
Vie associative : Membre du réseau Femmes Capitales. Prix reçu : Trophée d'argent aux Trophées Daf magazine 2017.
Projets marquants : Structuration de l'équipe Finance (organisation, process) ; mise en place d'un système de facturation ; déménagement des locaux ; recherche de sources de financement (plusieurs levées de fonds et subventions publiques).
Au début de sa carrière, Mong-Trang Sarrazin passe huit ans chez Deloitte (six années à Paris et deux ans à Londres) avant de rejoindre Ullink, un éditeur de logiciels de trading, au poste de CFO. Depuis début 2016, elle est CFO de Doctolib, une plateforme qui permet de trouver un professionnel de santé et de prendre rendez-vous en ligne. Son périmètre comprend la finance, la comptabilité, le contrôle de gestion, le juridique, les RH, les achats et l'office management. Depuis son arrivée, elle s'est attelée à structurer l'équipe Finance (organisation, process) pour pouvoir absorber la croissance significative de la société (recrutement de presque 400 employés depuis sa création).
Objectifs 2018 /2019 Continuer la croissance à l'international ; mise en place d'un ERP ; recherche de financement /subventions.
tional CHIFFRE D'AFFAIRES COMPRIS ENTRE 50 ET 100 MILLIONS D'EUROS ESTELLE LEROY-SAVIGNAC DIRECTRICE GÉNÉRALE DÉLÉGUÉE EN CHARGE DES FINANCES DE MICHEL ET AUGUSTIN (agroalimentaire) Âge : 40 ans. Effectif managé : 10 personnes (sur un effectif total de 100 salariés).
Prix reçu : Élue Daf de l'année Trophées Daf Magazine 2017. Projet marquant : Refonte complète de l'organisation financière et plus largement des processus de gestion pour les adapter à la très forte dynamique de croissance et aux nouveaux enjeux commerciaux de la société.
Diplômée d'HEC et d'un DESS de fiscalité internationale, Estelle Leroy-Savignac a passé 12 ans chez Total, notamment au poste de directrice financière d'Argedis (filiale française de Total en charge des stations d'autoroute) entre 2011 et 2013. Elle est arrivée en 2013 chez Michel et Augustin pour prendre en charge les finances de cette PME en train de muer en ETI. Ce fut d'ailleurs son principal projet jusqu'alors : refondre la direction financière et les processus de gestion en vue de passer d'une organisation PME à une organisation ETI.
Objectifs 2018 /2019 Procéder au déploiement du plan stratégique et accompagner le passage d'un nouveau palier de croissance.
BERTRAND DE BELMONT DAF DE VULCAIN INGÉNIERIE Âge : 44 ans. Effectif managé : 16 personnes (sur un effectif global de 950 salariés).
Vie associative : Membre de la DFCG ; fait également partie d'une association qui distribue des repas aux sans-abri.
Projets marquants : Gros travail sur le recouvrement, Vulcain Ingénierie ayant beaucoup de gros clients qui ont tendance à décaler leurs créances (en 3 mois, gain de 5 jours de DSO) ; structuration du reporting.
Après des études à l'Edhec, Bertrand de Belmont intègre Michelin au poste de contrôleur de gestion où il apprend une méthodologie, un savoir-faire et une rigueur. Il occupe ensuite des postes de direction financière dans différentes structures avant de devenir, en 2015, le Daf de Vulcain Ingénierie. Son premier chantier à ce poste : la reprise en main de la comptabilité avec l'instauration d'un outil dédié (Sage 1000). Selon Bertrand de Belmont, la digitalisation est d'ailleurs le sujet le plus important pour les directions financières de sociétés en hypercroissance, ce qui est le cas de Vulcain, qui affiche une croissance annuelle de plus 30 % : les services support doivent être en avance sur les sujets à venir afin de prévoir l'avenir et non plus seulement regarder le passé. Objectifs 2018 /2019 Professionnalisation du service comptable afin qu'il soit à la hauteur de ce que Vulcain est devenu ; mise en place de nouveaux outils.
MARC ROUBEROL CFO DE VALOREM ÉNERGIE (énergies renouvelables) Âge : 48 ans. Effectif managé : 30 personnes (sur 200 salariés au total).
Projets marquants : Levée de fonds de plus de 50 M(EURO) auprès d'investisseurs institutionnels de premier rang ; mise en place d'une équipe de financement de projets ayant permis de lever 400 M(EURO) de dette sans recours adossés aux parcs de production d'énergie verte.
3 De formation ingénieur (ESPCI physique-chimie, Paris, 1996) complétée par un MBA (Insead, 2001), Marc Rouberol a travaillé 12 ans au sein du groupe Saint-Gobain, dont sept comme adjoint au directeur du plan et de la stratégie, et dernièrement comme directeur financier de la business unit "Grains et Poudres". En 2008, il fonde avec deux associés une start-up dans le secteur des énergies renouvelables, 3e Habitat. Depuis 2012, il est le directeur financier groupe de Valorem, ETI dans le secteur éolien. Afin d'accompagner la forte croissance de l'entreprise (plus de 30 % de croissance entre 2014 et 2016), Marc Rouberol a été l'un des principaux artisans de l'opération de levée de fonds en 2016 et a mis en place une équipe de financements de projets qui a permis de lever 400 millions d'euros de dette sans recours adossés aux parcs de production d'énergie verte. À noter qu'en plus du financement et du contrôle de gestion, dont le système a été refondu, Marc Rouberol encadre la comptabilité, la trésorerie, les achats, le juridique et les cessions /acquisitions.
Objectifs 2018 /2019 Poursuivre la croissance du groupe via le financement de 300 mégawatts supplémentaires et asseoir la robustesse du bilan du groupe.
CHIFFRE D'AFFAIRES COMPRIS ENTRE 100 ET 500 MILLIONS D'EUROS PASCAL MAGNE GROUP CFO DE MAESA (création de parfums et de cosmétiques) Âge : 50 ans. Effectif managé : 70 personnes (sur un effectif total de 260 salariés).
Prix reçu : Trophée bronze de l'élection du Daf de l'année Trophées Daf Magazine 2013.
Projets marquants : Intégration des acquisitions ; projets autour de l'efficacité opérationnelle, notamment la mise en place d'outils digitaux pour améliorer la productivité.
Diplômé d'une maîtrise de sciences de gestion (Dauphine, 1991), Pascal Magne commence sa carrière comme responsable financier à ICL. Il rejoint ensuite Dell (responsable des prix pour les grands comptes puis du business internet) avant d'occuper des postes de direction dans différentes PME du secteur IT. Depuis 2010, il est Daf de Maesa. Son objectif : optimiser l'efficacité opérationnelle dans un environnement de forte croissance (plus de 40 % de 2014 à 2016).
Objectifs 2018 /2019 Sécuriser l'acquisition faite en 2015 (base client, profitabilité) ; mettre en place des outils /process pour rendre l'entreprise plus flexible, dans le but notamment de mieux gérer les pics de commandes.
ARNAUD DANEL DAF DE DELTA PLUS GROUP (équipements de protection individuelle) Âge : 44 ans. Effectif managé : 20 personnes (sur un effectif total de 1 800 salariés à travers le monde). Prix reçus : Delta Plus Group a obtenu le prix de la transformation des PME (2016) et le Grand Prix des Entreprises de croissance (2017) ; Arnaud Danel a été finaliste du Trophée DFCG Provence (2014).
Intégration de 8 nouvelles filiales Projets marquants : (5 acquisitions et 3 créations de filiales) ; levée de financements bancaires moyen terme (et obligataires) pour plus de 50 M(EURO) et rallongement de la maturité de la dette dans un contexte d'amélioration significative des ratios d'endettement.
Diplômé de l'ESCEM (1996) et doté d'un DSCG (1999), Arnaud Danel a débuté dans l'audit avant de devenir responsable du contrôle interne de LVMH Parfums & Cosmétiques. Il intègre ensuite Eurosilicone au poste de contrôleur financier avant d'évoluer à la fonction de Daf puis de VP Finance & Supply Chain. Depuis 2012, il est Daf de Delta Plus Group, un groupe industriel spécialisé dans les équipements de protection individuelle, qui a réalisé une croissance de 25 % sur les quatre dernières années. À ce poste, il contribue à l'internationalisation du groupe (présent dans 24 pays en dehors de la France), au financement de son développement et à la communication financière. Le travail mené sur celle-ci et les relations investisseurs a eu pour conséquence une plus grande attractivité de Delta Plus Group auprès des investisseurs small et mid cap (Delta Plus Group est un groupe coté sur Euronext Paris, compartiment B).
Objectifs 2018 /2019 Optimiser la génération de cashflow afin de donner à Delta Plus les marges de manoeuvre financières qui lui permettront de poursuivre son développement à l'international ; contribuer en tant que business partner à la poursuite de la croissance rentable du groupe.
FRANÇOIS MOLLIER DIRECTEUR GÉNÉRAL ADJOINT EN CHARGE DES FINANCES DE D2L GROUP (services en ressources humaines) Âge : 36 ans. Effectif managé : 25 personnes (sur un effectif total de 150 salariés).
Prix reçu : D2L Group a obtenu le Grand Prix des Entreprises de croissance, catégorie Service, en 2017 (Leader's league). Projet marquant : Deux acquisitions, en 2015 et 2017 (négociations, structuration de l'opération, recherche de financement, pilotage des audits et réorganisation du capital) ; refonte des fonctions de pilotage financier ; financement de la croissance (plan de priorisation des investissements, pilotage du cash intragroupe, financement et gestion du BFR, gestion des relations avec les partenaires financiers).
Diplômé de l'ICN (2005), François Mollier commence sa carrière dans l'audit avant de rejoindre BNP Paribas à Chicago où il s'occupe de financement de projet et d'acquisition. Il revient à Paris pour s'occuper d'acquisition grands comptes chez Crédit Agricole Corporate Investment Bank. Depuis 2015, il est directeur général adjoint en charge des finances de D2L Group, un groupe spécialisé dans les ressources humaines qui réalise une croissance annuelle de l'ordre de 80 %. Sa mission : initier la croissance via des acquisitions, piloter la croissance en adaptant les fonctions de pilotage financier aux problématiques d'hypercroissance (à savoir : création d'une fonction de contrôle interne, remise à plat des process financiers et des ERP, nouvelles pratiques en matière de budget et de gestion des investissements, mise en place d'une première consolidation, redéfinition des périmètres fiscaux) et financer la croissance grâce à un meilleur pilotage du cash et de bonnes relations avec les partenaires financiers. Objectifs 2018 /2019 Faire partager les meilleures pratiques financières entre les filiales ; accompagner le changement continu dans un contexte d'hypercroissance où il faut savoir se réorganiser en permanence ; préparer la structure financière à absorber les prochains projets de croissance externe ; et surtout se structurer sans se dénaturer !
MARC BERNARD CFO DE REALITES (Immobilier -Développement des territoires) Âge : 37 ans. Effectif managé : 12 personnes (sur un effectif total de 160 salariés).
Prix reçu : Lauréat du Trophée DFCG Bretagne-Pays de la Loire (2013) Projets marquants : Les différentes opérations financières d'envergure menées dont augmentation de capital de 7,5 M(EURO) grâce à l'entrée d'un fonds américain, Lexin Capital (2010), émission obligataire cotée IBO sur le marché Alternext de 7,8 M(EURO), IPO sur le marché Alternext par augmentation de capital de 6 M(EURO) (2014) ; partenariat de co-investissement avec le fonds Keys AM à hauteur de 25 M(EURO) (2015).
Après un diplôme d'expertise comptable et commissariat aux comptes, Marc Bernard a oeuvré pendant 5 ans dans un cabinet d'audit (missions d'expertise comptable, audit légal et conseils aux entreprises). En 2007, il rejoint REALITES au poste de CFO. Le groupe n'ayant cessé de croître depuis sa création en 2003 (son volume d'activité actuel est proche de 200 millions d'euros), Marc Bernard cherche avant tout à trouver des ressources financières à la fois importantes, diversifiées et structurées. La dernière en date étant une émission obligataire de type Euro PP, à hauteur de 7,75 M(EURO). À noter aussi : en 2013, REALITES était la première société non cotée à émettre une obligation cotée.
Objectifs 2018 /2019 Structurer financièrement le groupe afin d'accompagner sa croissance, et financer le nouveau projet du groupe, Yellopark, la construction d'un grand ensemble immobilier et d'un nouveau stade pour le FC Nantes.
SUSANNE LIEPMANN GROUP CFO D'ETHYPHARM (laboratoire pharmaceutique) Âge : 49 ans. Effectif managé : 37 personnes (sur un effectif total de 1 500 salariés dans le groupe). Vie associative : Présidente du réseau Fi+ (www.fi-plus.com), Susanne Liepmann est également membre de plusieurs réseaux de femmes et de la DFCG. Elle a par ailleurs été pendant 20 ans trésorière et administratrice de l'association des diplômés du Cesem.
Prix reçus : CFO Award, Finance Monthly (2016) ; CFO de l'année, Reims Management School Alumni (2009). Projets marquants : Achat et intégration d'une plateforme de distribution britannique (2015) puis d'un groupe anglais (2017) ; refinancements en 2015, 2016 et 2017 ; structuration de l'équipe Finance pour accompagner la transformation et la croissance (équipe et systèmes).
De nationalité allemande, Susanne Liepmann est arrivée en France pour ses études (Neoma Business School, ex-Cesem) et a par la suite toujours travaillé à l'international à partir de la France. Si bien que l'international, l'interculturel et la transversalité sont ses grandes spécialités. Spécialités qu'elle a exercées aussi bien chez Arthur Andersen (audit externe spécialisé en M&A) qu'au sein d'ADP, où son dernier poste fut CFO France & Tunisie. Depuis 2015, elle est group CFO chez Ethypharm, un groupe pharmaceutique sous LBO, dont elle a orchestré le LBO secondaire en 2016. Afin d'accompagner efficacement l'entreprise dans sa transformation et sa croissance (aussi bien interne qu'externe), elle veut consolider les acquis, adapter les outils et sécuriser. Objectifs 2018 /2019 Passer aux IFRS et adapter l'outil et les procédures de consolidation, déployer Anaplan pour le reporting & les analyses de gestion, travailler la compliance (Loi Sapin II, RGPD, sanctions...).
PASCAL BOISLIVEAU DIRECTEUR GÉNÉRAL ADJOINT EN CHARGE DES FINANCES DE LA MAISON BLEUE (crèches d'entreprise) Âge : 40 ans. Effectif managé : 80 personnes (sur un effectif global de 2500 salariés en Europe). Vie associative : Membre de l'Agora des DAF et de l'Agora des dirigeants ; membre du comité stratégique du Cercle des CFO sous LBO de Deloitte.
Prix reçus : Élu Daf de l'année Trophées Daf Magazine 2014 ; finaliste du Trophée DFCG Île-de-France 2016.
Projet marquant : Gestion de l'hypercroissance en structurant le groupe et en le professionnalisant ; financement de l'ensemble de cette croissance et tour de table associé.
Diplômé de l'École de management de Marseille (aujourd'hui Kedge), Pascal Boisliveau débute dans l'audit, chez Ernst & Young, avant de rejoindre Procapital, maison mère de Fortuneo. Il y occupe respectivement les postes de Daf adjoint, puis de Daf. En 2011, il devient Daf de La Maison Bleue avant d'évoluer en 2016 au poste de directeur général adjoint. Il est désormais en charge de la finance, des RH, de l'immobilier, de l'informatique, du juridique et des moyens généraux. Sa mission : gérer le développement du groupe qui est en hypercroissance depuis 2011.
Objectifs 2018 /2019 Internationalisation du groupe et ouverture de nouveaux pays, opération de croissance externe pour accélérer la croissance (France et Europe), digitalisation totale du groupe.
GUILLAUME DESPIERRES DAF DE LA VIE CLAIRE (distribution alimentaire de produits biologiques) Âge : 43 ans. Effectif managé : 20 personnes (sur un effectif total de 840 salariés).
Prix reçus : Lauréat 2017 du Trophée DFCG Auvergne Rhône-Alpes ; Lauréat régional 2017 de la création et reprise d'entreprise (CCI) pour la société CrisiSoft.
Projets marquants : Création de services (contrôle de gestion, trésorerie, formation, recrutement) ; mise en place d'outils informatiques pour optimiser la productivité des services administratifs (évolution de l'ERP, changement du système paie, mise en place d'un outil sur la comptabilité bancaire) et améliorer la lecture de performances (mise en place d'un BI et de la comptabilité analytique) ; optimiser les frais de fonctionnement en rechallengeant les partenaires (gain de 300 k(EURO) /an).
Doté d'un DESS (Master 2) en système d'information financier, Guillaume Despierres a passé sept années dans le conseil en management au sein de différents cabinets. Il entre ensuite chez Casino où il reste huit ans, occupant tour à tour les postes de directeur des activités support des drives, directeur du contrôle de gestion de la supply chain France et directeur financier Easydis (filiale logistique de Casino France). Depuis 2015, il est Daf de La Vie Claire, dont il accompagne le développement (croissance annuelle de l'ordre de 30 %) au niveau de la finance, de la comptabilité (dont la revue des processus a permis un gain de dix jours sur les arrêtés comptables en 2016/2017), du contrôle de gestion, des frais généraux et des RH. Il mise beaucoup sur une forte délégation aux équipes pour responsabiliser, motiver et accélérer la transformation de la direction financière.
Objectifs 2018 /2019 Continuer à transformer la direction financière pour faire en sorte qu'elle joue un vrai rôle de fonction support afin d'accompagner la très forte croissance de l'entreprise et d'être force de proposition dans la création de valeur.
LAURENCE TORT DAF DE CLARKE ENERGY FRANCE (équipement industriel) Âge : 46 ans. Effectif managé : 15 personnes (sur un effectif de 200 salariés au total).
Vie associative : Membre de la DFCG. Projets marquants : Mise en place d'un processus budgétaire ; coordination du déménagement de la société, conséquence de sa croissance rapide (20 % en 2015).
Laurence Tort a rejoint Clarke Energy France au poste de Daf il y a quatre ans (en 2014). Un des premiers chantiers à son arrivée, ayant un passé de contrôleur de gestion : travailler sur la comptabilité analytique, jusqu'alors inexistante. Autre chantier : la société ayant été rachetée l'année dernière par le groupe américain Kohler, Laurence Tort a oeuvré, avec toute son équipe, à produire des reportings à J + 2 contre J + 9 auparavant. Actuellement, elle mène un projet de dématérialisation de grande ampleur, afin d'éliminer les tâches à faible valeur ajoutée. Pour l'ensemble de ces réalisations, Laurence Tort veille à la dimension conduite du changement. Passer de PME à ETI induit bon nombre d'ajustements : les réflexes ne sont pas les mêmes, les façons de travailler ne sont pas les mêmes, les locaux non plus... Et ce n'est pas facile pour tout le monde. Dialogue, formation et réorientation sont donc au rendez-vous.
Objectifs 2018 /2019 Continuer à développer les tableaux de bord afin de donner de la visibilité et de s'assurer des directions prises.
CHIFFRE D'AFFAIRES SUPÉRIEUR À 500 MILLIONS D'EUROS PHILIPPE REDON CFO D'ATLANTIC (industrie du génie climatique) Âge : 56 ans. Effectif managé : 100 personnes (sur un effectif total de 6 000 salariés).
Vie associative : Membre et accompagnateur au sein du Réseau Entreprendre.
Projet marquant : Intégration des croissances externes et des joint-ventures internationales dans les méthodes et cycles de reporting du groupe ; mise en place d'un financement adapté à la croissance du groupe (RCF en Club Deal et Euro PP).
Diplômé de l'ESSCA (1983) et titulaire d'un diplôme d'expert-comptable (1992), Philippe Redon a fait ses premières armes chez KPMG avant de rejoindre le groupe Atlantic en 1992. Tout d'abord responsable financier d'une division du groupe, il devient en 1999 le directeur financier du groupe. À ce poste, il est en charge de finance, comptabilité, fiscalité et juridique et veille à la croissance du chiffre d'affaires du groupe, qui s'élevait à 1 576 millions d'euros en 2016 (soit une croissance de 60 % depuis 2014, notamment portée par d'importantes croissances externes).
Objectifs 2018 /2019 Organiser la structure du groupe pour faciliter l'implantation d'un nouvel ERP.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DAF
Copyright 2017 DAF Magazine
tous droits réservés
230 of 500 DOCUMENTS
Economie Matin
9 décembre 2017 04:00 AM GMT
Le défi du droit à l'oubli face à l'intelligence artificielle
LONGUEUR: 1223 mots
La mise en oeuvre du droit à l'oubli au niveau d'applications exploitant intelligence artificielle va représenter un défi majeur en raison du fonctionnement intrinsèque de ces solutions. Un des nombreux aspects déconcertants du Règlement général sur la protection des données (RGPD) de l'UE est le " droit à l'oubli ". Il est lié au droit à l'effacement, mais couvre un terrain bien plus large. Le droit d'exiger la suppression de nos informations personnelles signifie que les données conservées par le responsable du traitement des données doivent être supprimées sur demande du client. Le droit à l'oubli concerne plus spécifiquement les données personnelles que le responsable du traitement a rendues publiques sur Internet. Je suis tombé sur un article sur ce sujet, qui examine en détail les questions juridiques et techniques liées à l'effacement et à l'" oubli ". Les auteurs indiquent que la notion de suppression n'a pas le même sens selon que l'on parle du big data et de l'intelligence artificielle, ou de données conservées sur un système de fichiers.
Cet article contient des informations importantes sur l'histoire récente du droit à l'oubli et sa lecture en vaut la peine. Bref résumé d'une actualité En 2010, un certain M. Costeja Gonzaacute;lez a déposé auprès de l'Autorité espagnole de protection des données (DPA) une plainte visant Google et un journal espagnol. Il s'est rendu compte que lorsqu'il saisissait son nom dans Google, les résultats de recherche affichaient un lien menant à un article de journal qui signalait la vente d'un bien par M. Gonzaacute;lez au motif de solder des dettes personnelles. L'Autorité espagnole de protection des données a rejeté la plainte visant le journal puisque celui-ci avait l'obligation légale de publier la vente du bien. La DPA a toutefois maintenu la plainte contre Google. L'argument de Google était que puisque la société n'avait aucune présence réelle en Espagne (aucun serveur physique situé en Espagne ne contenait les données) et que les données étaient traitées en dehors de l'UE, elles n'étaient pas soumises à la Directive sur la protection des données (DPD) de l'UE. Au final, la Cour de Justice, la plus haute instance judiciaire, a déclaré dans sa décision de 2014 concernant le droit à l'oubli que : les entreprises de moteur de recherche sont considérées comme étant des responsables du traitement des données ; la DPD s'applique aux entreprises qui vendent leurs services en UE (qu'elles y soient présentes physiquement ou non) ; et les clients ont le droit de demander aux entreprises de moteur de recherche la suppression de liens menant à des informations personnelles les concernant. Le GDPR deviendra une loi européenne et remplacera la DPD en mai 2018 : l'article 17 aborde le droit à l'oubli, et l'Article 3 précise la portée extra-territoriale de la décision. Toutefois, ce qui est intéressant dans ce cas, c'est que les informations d'origine sur M. Gonzalez n'ont jamais été supprimées et qu'elles sont toujours accessibles en lançant une recherche dans la version en ligne du journal. En pratique, l'" oubli " consiste donc à supprimer une clé ou un lien menant aux informations personnelles, mais pas les données elles-mêmes. Ne perdez pas ceci de vue. L'intelligence artificielle est comme un mini-Google La seconde partie de l'article explique très bien le b.a.-ba de ce qui se passe lorsque des données sont supprimées dans un logiciel. Ces informations sont très instructives pour les personnes sans connaissances techniques. Les techniciens, quant à eux, savent que lorsque l'on en a terminé avec un objet de données dans une appli et que l'on efface ou " libère " la mémoire, les données ne disparaissent pas comme par enchantement. Au lieu de cela, le morceau de mémoire est placé sur une " liste liée " qui est traitée tôt ou tard et insérée dans une mémoire logicielle disponible en vue d'une réutilisation éventuelle. Appelée " nettoyage de la mémoire " ou " ramasse-miettes ", cette procédure permet aux logiciels exigeants de retarder la mise au rebut des données, un processus qui utilise l'UC de manière intensive, à un moment où l'appli n'est pas occupée. L'apprentissage automatique utilise de vastes ensembles de données pour entraîner le logiciel et en déduire des règles de prise de décision. Le logiciel affecte et supprime en permanence des données, souvent personnelles, qui peuvent à un moment précis être placées dans une file d'attente afin d'être mises au rebut. Que signifie alors mettre en oeuvre le droit à l'oubli dans une appli d'intelligence artificielle ou de big data ? Les auteurs de l'article font remarquer qu'il est peu probable que la suppression d'un point de données unique affecte les règles du logiciel d'intelligence artificielle. Très bien. Mais assurément, si des dizaines ou des centaines de milliers de personnes font jouer leur droit à l'effacement dans le cadre du GDPR, on peut s'attendre à ce que ces règles évoluent. Ils indiquent également que ces données peuvent être déguisées en utilisant des techniques d'anonymisation ou de pseudonymisation pour éviter de stocker des données identifiables et contourner ainsi le droit à l'oubli. Certaines de ces techniques d'anonymisation impliquent d'ajouter des " parasites " qui peuvent parfois affecter l'exactitude des règles. Ceci nous mène à une approche de mise en oeuvre du droit à l'oubli dans le cas de l'intelligence artificielle auquel nous avons fait allusion plus haut : l'oubli passe peut-être par le fait d'empêcher l'accès aux données d'origine ! C'est ce que fait le processus de ramasse-miettes en plaçant la mémoire dans une file d'attente séparée qui la rend inaccessible au reste du logiciel - le " handle " entre le logiciel et la mémoire n'autorise plus d'accès. Google fait la même chose en retirant l'URL du site Web de son index interne. Dans les deux cas, les données sont toujours là mais elles sont, dans les faits indisponibles. La clé de la mémoire Dans le domaine de l'intelligence artificielle, l'oubli repose sur l'idée de supprimer ou effacer la clé qui permet d'accéder aux données. L'article évoqué en préambule s'achève en suggérant que nous devrons explorer des moyens plus pratiques (et économiques) de gérer le droit à l'oubli pour les applis de big data. Perdre la clé est une piste possible. D'autres méthodes sont envisageables, comme par exemple celle consistant à fragmenter les données personnelles en ensembles de plus petite taille (ou de les mettre en silo) afin qu'il soit impossible ou extrêmement difficile de réidentifier chaque ensemble séparé. Il est évident que supprimer des données personnelles d'un système de fichiers n'est pas forcément simple, mais c'est une difficulté que l'on peut surmonter sans problème lorsque l'on dispose des bons outils ! C'est un fait entendu, dans le domaine de l'intelligence artificielle, l'oubli est plus complexe à mettre en oeuvre et exige de trouver des solutions autres que la suppression des fichiers. Il est possible que nous voyions aussi apparaître de nouvelles technologies similaires à l'effacement dans le domaine de l'intelligence artificielle. D'ici là, il est probable que les régulateurs européens ne manqueront pas de nous faire part de leur vision du droit à l'oubli dans le cas des applications de big data.
DATE-CHARGEMENT: 12 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
231 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 8 Décembre 2017
La vérification d'identité, nouvelle manne des regtech
AUTEUR: Charlie Perreau
RUBRIQUE: ARTICLES; Banque - assurance
LONGUEUR: 1062 mots
ENCART: Les start-up françaises spécialisées dans la gestion du KYC, know your customer, signent leurs premiers contrats avec des institutions financières.
Vérifier l'identité d'un client n'est pas une simple formalité pour les banques et assureurs. Communément appelé le KYC, pour know your customer, ce processus peut parfois prendre plusieurs semaines pour la clientèle entreprise. Et coûter beaucoup d'argent. Selon une étude de Thomson Reuters auprès de banques britanniques, elles dépensent chacune en moyenne 47,8 millions d'euros par an pour la conformité KYC. Pour réduire cette charge, les établissements financiers se tournent vers les regtech, ces fintech de la conformité, qui s'occupent de vérifier l'identité des consommateurs. Selon le cabinet britannique FinTech Global, entre 2012 et 2017, 23,1% des investissements dans des solutions regtech concernaient celles du KYC. Un chiffre qui s'explique notamment par le contexte réglementaire avec notamment l'entrée en vigueur du règlement européen sur la protection des données (RGPD) en mai 2018.
"On assiste à une explosion des exigences réglementaires et les complexités qui vont avec. Les plus grands groupes bancaires ont désormais des équipes de compliance qui comptent des milliers de personnes", souligne Paul Mizrahi, partner chez BlackFin Capital Partners, un fonds d'investissement spécialisé dans les services financiers européens. Même si le business autour de la vérification d'identité ne date pas d'hier, il connait un boom depuis quelques mois. "Il y avait déjà un secteur existant avec des éditeurs de logiciels financiers qui faisaient notamment du KYC. On voit apparaître une nouvelle génération de regtech qui apporte de vraies évolutions technologiques comme la biométrie, l'identification vidéo, l'intelligence artificielle et évidemment la blockchain", indique Paul Mizrahi. Créées ces dernières années, ces start-up sortent progressivement leurs produits depuis début 2017 et commencent à signer leurs premiers contrats avec des institutions financières.
"Une nouvelle génération de regtech apporte de vraies évolutions technologiques comme la biométrie et l'IA"
C'est le cas de Chekk. Fondée fin 2013, cette entreprise qui a conçu une application regroupant les données personnelles d'une personne (documents d'identité, moyens de paiement...) s'apprête à boucler ses premiers deals. "Cinq banques mondiales dont une française", précise Pascal Nizri, cofondateur français de la start-up, sans révéler les noms des établissements. Chekk a opté pour un modèle BtoBtoC : elle distribue sa solution auprès des banques et assureurs qui la proposent eux-mêmes à leurs clients. "Quand ils souhaiteront faire une mise à jour des données de leurs clients, les établissements financiers leur soumettront l'option Chekk. Ces derniers pourront alors télécharger l'application gratuitement et renseigner leurs données de façon sécurisée", explique Pascal Nizri. "Comme notre outil prouve qu'il y a une trace de consentement de la part du consommateur puisqu'il valide lui-même ses données, c'est donc en parfait accord avec le GDPR", ajoute-t-il. Pour maximiser l'adoption de l'application, Chekk compte sortir une version "plus simple et plus design" d'ici la fin de l'année ou début 2018.
Basée à Paris, Hong-Kong et Sydney, l'entreprise fait partie des dix start-up sélectionnées par l'accélérateur de Facebook, situé à Station F. Elle est en train de boucler une levée de fonds de deux millions de dollars, menée par un investisseur hongkongais.
La blockchain, preuve d'identité irréfutable
MatchUpBox est aussi en train de lever des fonds (environ 30 millions d'euros) mais en initial coin offering (ICO), une levée de fonds en crypto-monnaies. Cette start-up franco-américaine basée à Montpellier et Boston a développé une plateforme d'échange de données basée sur une blockchain semi-privée. "Cela signifie que notre client décide de la gouvernance de sa chaîne, à savoir qui peut jouer dans son bac à sable", explique Didier Collin de Casaubon, CEO de l'entreprise. Lancée au printemps 2017, cette solution certifie les données personnelles et permet de réaliser des transactions anonymes entre différentes entités. MatchUpBox revendique des clients français dans le secteur de la banque et l'assurance, sans préciser les noms. "Un de nos clients, une banque française, nous a sollicités pour un de ses départements. Nous avons donc commencé par intégrer notre solution à ce service, ce qui lui a fait économiser beaucoup d'argent car cela facilite les transferts de dossiers entre départements. Maintenant, on étend la solution à d'autres filiales qui ont besoin des mêmes données et ensuite on le fera pour d'autres pays du groupe", indique Didier Collin de Casaubon. MatchUpBox table sur un chiffre d'affaires de 2,7 millions d'euros en 2018.
Cinq minutes en vidéo
L'autre technologie qui donne un coup de jeune au secteur est la vidéo. L'entreprise allemande IDnow propose une solution intégrée dans les applications des banques. Elle a notamment signé avec la néobanque allemande N26. "Quand vous ouvrez un compte bancaire en ligne, vous rentrez vos informations personnelles. Evidemment, le client ne sort pas de l'application ou du site de la banque. Ensuite, vous faites un chat vidéo avec un agent qui s'occupe de vérifier les documents, l'identité... Après vérification, l'agent approuve votre demande et le compte bancaire s'ouvre immédiatement. Il faut environ dix minutes pour ouvrir un compte chez une néobanque, dont 5 minutes sont dédiées au processus de vérification d'identité", détaille Rupert Spiegelberg, CEO de l'entreprise.
IDnow prévoit d'ouvrir un bureau en France début 2018, sous réserve d'un accord de l'Autorité de contrôle prudentiel et de résolution. Pour le moment, l'identification par vidéo n'est pas autorisée en France car considérée comme peu sécurisée. IDnow est plutôt confiante car elle a signé des contrats avec des clients français, dont les noms ne sont pas communiqués. "Je peux juste dire que ce sont des banques et des sociétés de prêts", glisse le dirigeant. BPCE a investi 2 millions d'euros dans la regtech en novembre 2016 via son fonds Seventure Partners. Si l'ACPR donne son feu vert, des entreprises françaises pourraient à leur tour attaquer le marché.
Et aussi : Les regtech séduisent les banques noyées par la législation
Ces start-up promettent aux institutions financières d'être conformes aux multiples réglementations en vigueur. Et de leur faire économiser des millions d'euros chaque année.
DATE-CHARGEMENT: 8 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
232 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 8 Décembre 2017
"La philosophie du RGPD peut être complexe à mettre en ½uvre ou sujette à interprétations"
AUTEUR: Xavier Biseul
RUBRIQUE: INTERVIEW; Banque - assurance
LONGUEUR: 1130 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, le CIL de Swiss Life évoque sa politique de gestion des données personnelles dans un secteur particulièrement régulée en la matière.
JDN.Quel est votre parcours, pourquoi avoir choisi d'être CIL ? Quelle est votre place au sein de l'organigramme de Swiss Life, de quelle direction dépendez-vous ? Patrick Villard est le correspondant informatique et libertés de Swiss Life © Swiss Life
Patrick Villard. Après une formation initiale en gestion d'entreprise et expertise comptable, j'ai fait l'essentiel de mon parcours professionnel au sein de Swiss Life. Entré en 1984, j'ai occupé différentes fonctions dans les domaines de la finance, de l'organisation des processus ou de l'informatique. J'ai également travaillé directement avec le directeur général d'une filiale ce qui apporte une bonne vue de l'entreprise. Ce parcours diversifié m'a conduit à occuper le poste de RSSI depuis 2005.
Dès la création du Correspondant informatique & libertés (CIL), Swiss Life s'est posé la question de nommer un CIL. Sur proposition de la direction juridique, il a semblé rapidement logique à notre PDG que je cumule les deux fonctions. Le RSSI sécurise les informations dans l'entreprise. Le CIL protège les données personnelles des collaborateurs et des clients. Il y a une complémentarité de fait et une utilisation forte de cette transversalité comme dans le cas du RSSI. A ma nomination en 2006, nous n'étions qu'une cinquantaine de CIL en France.
Hiérarchiquement, je suis rattaché au DSI qui est membre du comité exécutif. Ce rattachement au plus haut niveau de l'entreprise est un gage d'indépendance. Je n'ai pas de collaborateur, mais je m'appuie sur un réseau de "Responsables de la protection des données" établis dans chaque direction. Enfin, je devrais être appelé à devenir DPO dès que les nominations seront rendues possibles par la Cnil.
Quels sont les principaux enjeux de votre action au sein de Swiss Life ?
Les enjeux sont de différents ordres. Il en y a un qui ne change pas, c'est la protection des données et des droits des individus. Ainsi, nous avons montré que la politique de protection des données personnelles reflète les trois valeurs de Swiss Life. A savoir, être attentif aux personnes, apporter de la sérénité et prouver notre fiabilité. La protection des données personnelles doit effectivement se faire en toute transparence et avec la plus grande efficacité.
Un autre des enjeux consiste à accompagner la transformation digitale du groupe. Je fais partie, par exemple, de la communauté des "data champions" de la société, qui réunit les experts de la donnée chez Swiss Life. Par mes recommandations, j''apporte le volet régulation. Je pose le cadre, les limites d'un projet afin d'assurer sa conformité. Tout le monde a aussi pris conscience qu'il faut lutter contre l'inflation de données, l'infobésité.
Notre gouvernance intègre les nouveaux enjeux liés au projet du RGPD en prenant en compte la conformité dès le début, selon le principe du privacy by design. Le règlement conduit aussi à systématiser les analyses d'impacts (DPIA, Data Privacy Impact Assessment).
Quelles premières mesures avez-vous prises à votre arrivée ?
A ma prise de fonction en 2006, j'ai commencé par échanger avec la Cnil afin de vérifier et mettre à jour les déclarations effectuées par Swiss Life. J'ai ensuite recensé les documents de collectes de données existants. Ce sont eux qui alimentent en données les traitements, cela a permis de dresser un bon état des lieux. Je me suis présenté personnellement à la Cnil. Comme je le disais, nous étions très peu de CIL lors de ma nomination. Ce qui facilitait des relations plus personnelles.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
TV interne, e-mail, intranet, affichage... Nous utilisons tous les canaux de communication interne pour sensibiliser les 2 500 collaborateurs du groupe. L'e-learning permet aussi de passer des messages au plus grand nombre.
Régulièrement, j'interviens durant les parcours d'intégration des nouveaux collaborateurs, les "Welcome days". Pas question de citer les différents articles du règlement. Pour capter l'attention, je travaille par analogie en embarquant mes interlocuteurs dans des histoires vraies qui touchent à leur quotidien. Comme cette femme qui ,s'étonnant de voir des opérations illicites passées sur son compte bancaire, se rend au commissariat. Après enquête, il apparaît que c'est sa petite nièce de 10 ans qui avait compris comment passer des achats en ligne en indiquant le code de sécurité au dos de la carte bancaire.
Entraîneur national d'athlétisme dans la vie privée, je crois à ce travail de coaching. J'interviens, également, aussi à l'Isep dans le cadre du mastère spécialisé "management et protection des données à caractère personnel".
Quelles sont les spécificités du secteur de l'assurance ?
Détenant de manière licite un grand volume de données sensibles touchant notamment à l'habitat, à la santé, à l'épargne de leurs clients, les sociétés d'assurances sont particulièrement régulées. C'est avec la banque, je pense, une des professions les plus réglementées. Pour faciliter les échanges avec l'autorité de contrôle, un pack de conformité assurance a été conclu, en 2014, entre les sociétés d'assurances et la Cnil. Il s'agit en quelque sorte d'un code de bonne conduite. Nous travaillons régulièrement avec la Fédération Française de l'Assurance (FFA), dans le cadre du club de la conformité, ce qui permet d'avoir des échanges réguliers de la profession avec la Cnil.
Quels sont vos principaux chantiers à venir ?
En mars dernier, Swiss Life a été le premier assureur à recevoir le label "gouvernance informatique et libertés" de la Cnil pour ses différentes activités d'assurance vie, prévoyance santé et dommages. Depuis, la Cnil a publié une deuxième version de ce label afin de répondre au niveau d'exigences qu'introduit le RGPD. Swiss Life va répondre à ce nouveau cahier des charges. Cela sera un pas de plus dans la voie vers le RGPD. Qui d'autre que la Cnil peut nous dire quels sont les progrès à accomplir ? Je me nourris des rencontres avec mes homologues des autres sociétés d'assurances. J'effectue aussi une veille sur les travaux réglementaires. Les lignes directrices émises par le G29 livrent ainsi de précieuses indications. Elles permettent de mieux comprendre la philosophie du RGPD qui, sur certains aspects, peut être complexe à mettre en ½uvre ou sujette à interprétations.
En cours de réécriture, les évolutions de la loi Informatique & Libertés apporteront aussi leur lot de précisions. Au regard des nombreuses actions à mener, tout ne sera pas terminé au 25 mai 2018. Il ne faut pas être paralysé par cette date.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 8 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
233 of 500 DOCUMENTS
La Tribune
Vendredi 8 Décembre 2017
Pour Cédric Villani, "la France n'a pas perdu la guerre de l'IA"
AUTEUR: Erick Haehnsen
RUBRIQUE: NUMÉRIQUE; Pg. 39
LONGUEUR: 1055 mots
ENCART: Interview de Cédric Villani, chercheur en mathématiques (médaille Fields 2010), député (LRM) et vice-président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques (Opecst), chargé par le gouvernement de la mission Intelligence artificielle (IA), dont le rapport doit être rendu en janvier prochain. Propos recueillis par Erick Haehnsen
LA TRIBUNE - Laboratoires de recherche, universités, écoles d'ingénieurs, startups, accélérateurs... Où se trouvent les pôles d'excellence de notre écosystème de l'IA ? CÉDRIC VILLANI - L'IA, c'est un écosystème, un sujet de confluence mettant en oeuvre les compétences les plus variées : éthiques, philosophiques, politiques, scientifiques, économiques... Ses usages sont également des plus variés. Il est donc normal que l'on y pense en termes de pôles de compétitivité. Pour la partie la plus théorique, Paris est en tête. Puis viennent le plateau de Saclay ainsi que des villes comme Lille, Grenoble, Toulouse, Sophia Antipolis... Si l'on s'intéresse aux startups, la palette est plus large. Il faut ajouter aux précédentes des villes comme Rouen, Bordeaux, Nantes ou Lyon.
La France a renforcé son système de startups. Un gros travail a été accompli par les gouvernements précédents. Même si, vue de l'étranger, la France peut encore apparaître rigide dans ses réglementations, notamment parce qu'il semble difficile de licencier. Bien des clichés vont tomber. Le contexte politique peut-il changer la donne ? Au niveau politique, il y a un énorme changement. Avec le nouveau président de la République ainsi que les nouveaux députés - dont certains, comme Bruno Bonnell, sont des serial entrepreneurs de l'innovation -, il s'est constitué une communauté beaucoup plus à l'aise à l'égard de l'écosystème de l'innovation que l'équipe précédente. Quelle peut être la place de la France en matière d'IA ? Pour le Dr Laurent Alexandre, dont le livre La Guerre des intelligences [aux éd. JC Lattès, ndlr] fait beaucoup parler, la France a déjà perdu la guerre de l'IA et de la connaissance face aux États-Unis et à la Chine. Je suis plus optimiste. En Europe, le Royaume-Uni a été le premier à publier une vraie stratégie de l'IA. C'est aussi le pays d'Alan Turing, de la cryptographie... Mais la France arrive juste après. De plus, c'est la première force européenne en matière de startup. Tout n'est pas perdu, mais, il y a des pays plus enthousiastes. Par exemple, la Finlande ou l'Estonie connaissent une réelle adhésion populaire à la technologie et à l'innovation. Quels sont les freins à l'IA ? De même qu'il existe un marketing de l'adhésion à l'IA, il existe un marketing de la peur (pertes massives d'emplois, robots tueurs...). Il faut savoir qu'il existe une deuxième vague de ce scepticisme, portée notamment par des personnalités comme Cathy O'Neil qui, dans son livre Weapons of Math Destruction [aux éd. Crown, en anglais], pointe le danger posé par les modèles mathématiques [en prenant pour exemple la crise des subprimes]. Son principal argument est que les modèles prédictifs ne sont jamais neutres. Ils reflètent les objectifs et l'idéologie de ceux qui les créent. Et ont tendance à jouer contre les pauvres, renforçant ainsi les inégalités dans la société. Il existe également des freins culturels qui touchent, entre autres, au respect de la vie privée et des données personnelles. Ces préoccupations varient d'un pays à l'autre. En France, la peur du flicage provient de l'époque de Pétain, du nazisme, de la déportation... Nous avons appris qu'il faut faire très attention avec les données personnelles. Aujourd'hui, nous devons trouver de nouveaux équilibres. Pourtant, les algorithmes d'IA sont une chose et les données, une autre... Dans les faits, les données sont complètement inséparables des algorithmes d'IA. Car ces derniers font un usage effréné des données. Il faut pouvoir les acquérir, savoir comment les classer, les nettoyer, les enrichir, les protéger, déterminer qui a le droit d'y accéder... Mais comment faire évoluer le modèle européen des données ? À cet égard, que pensez-vous du Règlement général sur la protection des données (RGPD) qui va s'appliquer, dès le 25 mai prochain, dans toute l'Europe ? Rappelons qu'il menace d'une amende de 4% du chiffre d'affaires les entreprises non conformes ? Je fais partie de ceux qui pensent que le RGPD est un facteur d'innovation. De nouvelles architectures de logiciels et de nouvelles méthodes de traitement des données vont se développer. Le RGPD est une incitation à trouver des modèles plus respectueux et plus explicatifs. À quel moment allez-vous remettre le rapport de votre mission gouvernementale sur l'IA ? Il sera remis fin janvier. L'équipe de la mission comprend une demi-douzaine de personnes, dont un grand expert de l'IA, Marc Schoenauer, directeur de recherche à l'Inria de Saclay [Institut national de recherche en informatique et automatique]. Nous organisons des tables rondes qui, pendant près de trois heures, rassemblent chacune une dizaine de parties prenantes. La mission aura interrogé 250 personnes. En plus du rapport gouvernemental, il y aura une synthèse dont nous voulons que tout le monde puisse s'emparer. Ce devrait être un ouvrage disponible en librairie, rédigé dans une langue accessible et accompagné de documents audiovisuels. Une chose est sûre : cette synthèse doit être citoyenne. Le rapport France IA du précédent gouvernement préconisait d'investir 1,5 milliard d'euros dans l'IA. Combien prévoyez-vous ? Nous n'en sommes pas là ! Développer l'IA en France n'est pas qu'une question d'investissement public. L'IA pose la question des données qu'il faut acheter, stocker et gérer, notamment du point de vue de la souveraineté. Pour des raisons de sécurité et d'efficacité, il faut s'interroger sur le cloud en sachant que le projet de « cloud souverain » à la française a été un échec. Les Américains sont très en avance sur nous. Bien sûr, en France, nous avons l'hébergeur OVH, mais il lui faudrait consentir d'énormes investissements pour se hisser au niveau des Amazon, Google et Microsoft. Dans ce contexte, il n'est pas question de saupoudrer les deniers publics. Quelles sont les réflexions les plus cruciales que vous inspire l'IA ? La première est pragmatique : qui va former nos TPE, PME, ETI pour éviter qu'elles ne se tournent que vers les géants de l'IA ? Ensuite, j'ai une réflexion théorique. L'IA s'est développée de manière empirique : ça marche, mais on ne sait pas comment ni pourquoi. Quels sont les vrais concepts qui sous-tendent l'IA ? Nous ne le savons pas. _________ >> Conversation avec Cédric Villani, Novembre 2016
Cédric Villani, Mathématicien et Député LRM de l'Essonne
DATE-CHARGEMENT: 7 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
234 of 500 DOCUMENTS
La Tribune Hebdomadaire
8 décembre 2017
LES SIX CLÉS DE VILLANI pour débloquer l'IA
AUTEUR: Sylvain Rolland
RUBRIQUE: FUTUR; Pg. 29
LONGUEUR: 1413 mots
Le député de l'Essonne et mathématicien Cédric Villani a présenté, avec le secrétaire d'État au Numérique Mounir Mahjoubi, le bilan à mi-parcours de sa mission sur l'intelligence artificielle. Avec six axes clés de travail, et l'ouverture d'une plateforme collaborative en ligne.
Quelle stratégie pour la France en matière d'intelligence artificielle (IA), qui touchera à terme tous les secteurs de l'économie et va profondément changer notre société ? Face à la concurrence internationale - les États-Unis et la Chine investissent à coups de dizaines de milliards et sont très en avance -, la France et l'Europe doivent agir très vite pour sinon rivaliser, au moins tirer leur épingle du jeu.
C'est pourquoi Emmanuel Macron a confié à Cédric Villani, mathématicien émérite et député (LRM) de l'Essonne, une mission sur l'IA, dont les conclusions seront dévoilées à la fin du mois du janvier [voir La Tribune du 1er décembre 2017]. Aidé par Marc Schoenauer, directeur de recherche à l'Inria et pointure mondiale de l'IA, Cédric Villani a rencontré ces derniers mois 250 experts (chercheurs, entrepreneurs, élus, entreprises...), venus de 13 pays. L'objectif ?
" Définir une stratégie pour la France. " Ses conclusions devraient alimenter plusieurs textes législatifs et réglementaires et mobiliser tous les services de l'État dès 2018, afin de permettre le développement de l'IA d'un point de vue économique, à l'intérieur d'un cadre éthique et respectueux des données personnelles.
Voici les six axes de travail du rapport, présentés le mercredi 29 novembre en compagnie du secrétaire d'État au Numérique, Mounir Mahjoubi, lors d'un point de mi-parcours. Juste avant le lancement d'une plateforme collaborative en ligne pour recueillir les propositions et initiatives citoyennes.
1 METTRE LA PUISSANCE PUBLIQUE EN ORDRE DE BATAILLE
" La compétition internationale est très intense et le chemin pour faire émerger des champions nationaux et européens de l'IA est étroit ", admet Cédric Villani. D'où la nécessité de mettre en place à la fois une politique transversale (soutenir financièrement l'innovation dans l'IA, adapter les cadres juridiques, réglementaires et organisationnels pour lever les freins) et sectorielle (traiter les impacts de l'IA secteur par secteur).
En outre, puisque l'IA s'insère dans tous les secteurs, la mission préconise de " se concentrer sur quelques secteurs clés qui constituent des niches économiques d'excellence pour répondre à des grands défis collectifs " : la santé, le transport, l'environnement et la défense. Pour chacun d'entre eux, l'État devra se positionner en " tiers de confiance
", en trouvant les bonnes certifications et labels, et favoriser l'émergence d'écosystèmes forts, tout en permettant aux entreprises d'expérimenter.
2 UNE VÉRITABLE POLITIQUE DE LA DONNÉE
Pilier du développement de l'intelligence artificielle, les données qui nourrissent les algorithmes capables de prendre des décisions qui relevaient jusqu'à présent de l'intelligence humaine, devront faire l'objet d'une " véritable politique de l'État ", selon le prérapport, pour favoriser " l'ouverture, la mutualisation et le partage de données publiques et privées, tout en protégeant les individus ".
L'objectif : que les startups, entreprises et chercheurs aient accès à des jeux de données structurés, fiables et débarrassés des biais humains que l'intelligence artificielle pourrait reproduire. Ainsi, Cédric Villani propose de repenser la protection des données non pas autour de la collecte, qui est à la fois inévitable et indispensable, mais autour des usages. " Il faut intégrer des règles éthiques dans le développement des produits et services d'IA, secteur par secteur ", juge-t-il. Les défis sont autant techniques (Quel format adopter ? Comment stocker les masses de données en garantissant leur sécurité) que légaux (définir les données qui peuvent être utilisées).
Dans ce contexte, Cédric Villani aborde le Règlement général sur la protection des données (RGPD) édicté par l'Union européenne et qui entrera en vigueur en mai 2018, comme un gros point d'interrogation. " L'approche européenne, très protectrice, nous donne l'opportunité de nous démarquer. Mais certaines entreprises pourraient se paralyser à cause de ces nouvelles contraintes, si on ne leur donne pas les moyens d'en tirer profit. "
3 ANTICIPER ET MAÎTRISER LES IMPACTS DE L'IA SUR LE TRAVAIL
Les prédictions en matière d'impact de l'intelligence artificielle sur le travail sont très diverses : certains estiment que des millions d'emplois seront supprimés par l'automatisation des tâches. D'autres prédisent la création de centaines de nouveaux métiers et misent plutôt sur un remplacement de l'emploi. D'où la nécessité de transformer les compétences et de repenser l'éducation et la formation.
" C'est probablement le sujet le plus frustrant, car très peu ont les idées claires sur comment faire ", admet Cédric Villani. Le député estime que l'État doit d'abord anticiper les impacts sur l'emploi, via par exemple une structure dédiée. Puis axer l'éducation sur l'acquisition de compétences numériques, de compétences cognitives générales (capacités de résolution de problème et de compréhension du langage), de capacités d'adaptation et de créativité, sans oublier les compétences autour de la " dextérité manuelle ".
" Penser que la machine va remplacer l'homme est une vision simpliste. L'IA autonome de toute intervention humaine n'est ni pour demain, ni pour après-demain. Mais la complémentarité homme-machine est source de développement économique ", estime-t-il.
4 MAÎTRISER L'IMPACT ENVIRONNEMENTAL DE L'IA
En 2015, l'association américaine du secteur des semi-conducteurs prévoyait que les besoins en calcul excéderaient la production énergétique mondiale d'ici à 2040. Autrement dit : l'IA, nourrie aux données produites et hébergées par des centres de données, est un gouffre énergétique, pas du tout écolo.
" La vision de la France doit donc consister à développer simultanément une IA plus verte et une IA au service de la transition écologique ", préconise Cédric Villani. L'État pourrait mettre en place des incitations au verdissement des data centers ou encore préparer l'après-silicium. Un lieu de recherche en France consacré à la soutenabilité du numérique et de l'algorithmie est aussi envisagé.
5 UN CADRE ÉTHIQUE À DÉFINIR
" L'éthique, la confiance et la responsabilité sont cruciales pour le développement de l'IA car, sinon, ces technologies ne seront pas acceptées par les citoyens ", affirme Cédric Villani. La piste de labels sectoriels (les entreprises devraient se soumettre à des règles dans chaque secteur - la santé par exemple -pour être certifiées) sera explorée dans le rapport final. Le gouvernement devrait aussi réfléchir à " l'explicabilité " des technologies, c'est-à-dire faire en sorte que les citoyens ne vivent pas les décisions des algorithmes d'intelligence artificielle comme arbitraires (comme pour le logiciel APB), mais qu'ils comprennent pourquoi et comment la décision a été prise. " Un effort de pédagogie autour de l'IA est indispensable ", confirme Mounir Mahjoubi.
6 DÉVELOPPER LA RECHERCHE ET ÉVITER LA FUITE DES TALENTS
Le dernier enjeu identifié par la mission Villani concerne la recherche, tant au niveau public que du côté des entreprises. " Nous manquons de mathématiciens et d'ingénieurs spécialisés en mathématiques. Nos talents sont aussi trop souvent aspirés par des entreprises ou des laboratoires publics étrangers ", déplore Cédric Villani, qui regrette les " lourdeurs administratives " qui pèsent sur la recherche française. Les mesures qui seront proposées devront donc " offrir un environnement de travail digne d'eux aux chercheurs en IA pour les faire revenir et attirer les chercheurs étrangers ". Elles devront aussi " offrir aux entrepreneurs un écosystème plus favorable à la création d'entreprises ", notamment en favorisant les passerelles entre le public et le privé.
Le gouvernement va lancer la semaine prochaine une plateforme en ligne pour recueillir avis et propositions des citoyens. Le rapport Villani sera remis fin janvier au Premier ministre, qui proposera des actions législatives ou réglementaires dès la fin du premier trimestre 2018. Reste la question du financement, car une politique ambitieuse en matière d'IA devra se concrétiser par des investissements conséquents. " Ils seront importants", promet Mounir Mahjoubi. Reste à savoir s'ils seront suffisants, et surtout, intelligemment alloués.
DATE-CHARGEMENT: December 8, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Cédric Villani, député LRM, doit remettre à la fin du mois de janvier les conclusions de la mission sur l'intelligence artificielle que lui a confiée le gouvernement.
Reuters
TYPE-PUBLICATION: Magazine
Copyright 2017 La Tribune
Tous droits réservés
235 of 500 DOCUMENTS
Le Monde.fr
Vendredi 8 Décembre 2017
A Marseille, le big data au service de la sécurité dans la ville
AUTEUR: Claire Legros
LONGUEUR: 1179 mots
L'analyse de données numériques peut-elle contribuer à prévenir les troubles à l'ordre public? Quels risques soulève-t-elle quant aux libertés publiques ? Alors que de nombreuses collectivités en France misent sur les plates-formes de données pour optimiser les déplacements et l'empreinte énergétique urbaine, la ville de Marseille annonce la création d'un outil d'analyse pour «garantir de manière plus efficace la sécurité et la tranquillité publique des citoyens».
Baptisé «Observatoire de la tranquillité publique», ce centre de supervision est inédit dans une grande ville française. Selon la ville de Marseille, il recueillera l'ensemble des données publiques disponibles: mains courantes de la police municipale, captations des caméras de surveillance, informations relevées par les marins-pompiers ou les agents des espaces verts...
Anticiper les risques
Au-delà de la collecte, l'outil développé par Engie Ineo, vise à analyser ces informations et les croiser avec d'autres données, comme celles des opérateurs de téléphonie mobile, de transport public, de l'AP-HM (Assistance publique-Hôpitaux de Marseille), pour «mieux anticiper les risques». «Nous allons également utiliser les données de météo et les grandes tendances des réseaux sociauxdans une finalité de sécurité», explique Caroline Pozmentier, adjointe au maire en charge de la sécurité publique, qui évoque un «big data de la tranquillité publique, premier pilier de la smart city marseillaise».
Cofinancé par la ville, la région, le département et l'Union européenne, le dispositif sera opérationnel au premier trimestre 2018. Concrètement, il devrait aider la police municipale à mieux anticiper et organiser la sécurité lors de grands événements comme des matchs de football ou des manifestations de rue, en croisant les données présentes et passées: où faut-il envoyer les agents municipaux? Quels circuits privilégier pour les patrouilles? «Entre 2018 et 2020, l'outil va être alimenté par de nouveaux cas d'usage. Avec le machine learning, l'algorithme va apprendre au fur et à mesure et apporter des analyses de plus en plus pertinentes, en fonction de l'expérience accumulée et des retours des services», assure Sébastien Vinant, directeur de l'innovation chez Inéo Digital.
Les résultats définitifs, prévus en2020, seront mis à disposition de l'ensemble des services par l'intermédiaire de tableaux de bord. Le programme prévoit aussi la création d'une application mobile où les habitants de Marseille pourront signaler d'éventuels problèmes.
Des choix politiques
L'utilisation d'algorithmes s'est généralisée ces dernières années dans la police, notamment dans le cadre des enquêtes pour cibler une personne en croisant les données relatives à un crime. En France, la police et la gendarmerie nationales se sont chacune dotées de tels outils. Aux Etats-Unis, plusieurs villes ont adopté le logiciel d'aide à la décision PredPol qui détermine les zones à plus fort risque de criminalité en analysant la géolocalisation des crimes passés.
Le logiciel développé pour la ville de Marseille relève plutôt de l'outil d'aide à la décision pour les services municipaux. «Il ne s'agit pas à proprement parler de police prédictive, car cet outil n'aura pas accès aux données de criminalité qui relèvent de la police nationale, explique Jean-Luc Besson, géostatisticien à l'Observatoire national de la délinquance et des réponses pénales. L'objectif est de rationaliser le travail des forces de sécurité municipales en tirant la leçon d'événements passés.»
Pour ce spécialiste de la donnée, l'efficacité du projet dépendra de la qualité des informations recueillies par la plate-forme. Quel sera son impact sur la vie privée des Marseillais et les libertés publiques? «Ce n'est pas le programme, mais l'usage qui en est fait qui peut poser problème, estime-t-il. Dans tous les cas, il est important d'ouvrir l'algorithme afin de permettre un contrôle indépendant tout en préservant les intérêts commerciaux des développeurs.»
C'est aussi l'avis du sociologue au Laboratoire interdisciplinaire science innovation société (LISIS) Bilel Benbouzid, à l'université Paris Est Marne-la-Vallée, qui a travaillé sur l'algorithme PredPol. «En confiant la distribution des ressources en matière de sécurité à un algorithme, on s'en remet à une machine. Mais au nom de quels critères? Il existe toujours des critères de pondération: pour PrédPol, c'est le coût du crime. D'autres programmes mettent en avant la gravité des faits. Dans tous les cas, ces priorités déterminent des choix politiques qui doivent être expliqués.Il est nécessaire que la communauté des scientifiques et des associations citoyennes puissent avoir accès à la méthode et aux données, pour rendre compte de la manière dont les algorithmes distribuent les services publics de sécurité et des choix moraux associés à cette distribution qui ne sont pas forcément connus des acteurs eux-mêmes.»
Impact sur la vie privée
La mise en place de ce type d'outils par une municipalité pose aussi des questions relatives aux libertés publiques. Pour Félix Tréguer, membre de la Quadrature du Net et habitant de Marseille, «c'est la logique même de ces outils qui doit être interrogée. L'idée selon laquelle la technologie va résoudre des problèmes sociaux et qu'en investissant des milliers d'euros, on arrivera à garantir la sécurité, représente un leurre. Des études ont montré aux Etats-Unis à quel point ces programmes renforcent des biais tels que la discrimination liée à la couleur de peau. On assiste à un saut en avant technologique lié au big data qui entraîne la possibilité de croiser toutes ces données issues de bases diverses. Même si au début on nous vend des dispositifs encadrés, on constate une accoutumance à ces systèmes qui banalisent la société de surveillance.»
Dans sa synthèse «La plate-forme d'une ville, les données personnelles au coeur de la fabrique de la smart city», publiée le 10octobre, la Commission nationale de l'informatique et des libertés (CNIL) pointe les risques pour les libertés individuelles que pose la masse grandissante de données urbaines. Elle préconise la création de «comités consultatifs sur la vie privée» dans les collectivités.
A Marseille, Caroline Pozmentier se dit prête à créer un tel comité. «Sur notre plate-forme, nous n'utiliserons que des données anonymisées, assure-t-elle. Et nous travaillons avec la CNIL dans le respect strict du référentiel de recommandations que nous appliquons déjà pour notre système de vidéoprotection.»
La ville a nommé un délégué à la protection des données, comme le préconise le futur règlement européen sur la protection des données personnelles (RGPD) qui encadrera de façon plus stricte à partir de mai2018 l'utilisation des données personnelles. Dans son article27, le RGPD imposera aussi aux collectivités de réaliser une analyse d'impact sur la vie privée, pour tout service engendrant un risque élevé pour les droits et les libertés des personnes physiques.
Mise à jour à 17heures : la réaction de Félix Tréguer de la Quadrature du Net a été ajoutée à l'article.
DATE-CHARGEMENT: 8 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
236 of 500 DOCUMENTS
Les Echos
vendredi 8 décembre 2017
Les PME face au défi de la gestion des données personnelles
AUTEUR: LAURENCE ALBERT
RUBRIQUE: ARTICLE; Création d'un label; Pg. 26 N°. 22589
LONGUEUR: 733 mots
ENCART: Le nouveau règlement européen, qui entre en vigueur en mai prochain, impose aux entreprises de mieux gérer et sécuriser les données de leurs clients.C'est un défi technique pour les PME.
Il ne leur reste que six mois pour se préparer. Le 25 mai 2018, les entreprises devront avoir mis bon ordre dans leurs fichiers clientèle. Un nouveau règlement européen entre en effet en vigueur. Le RGPD (pour règlement européen pour la protection des données) ou GDPR (en anglais), texte touffu qui dépoussière des règles datant de 1995, impose aux entreprises européennes de mieux protéger, collecter, conserver, les données personnelles de leurs clients.
Conçu pour protéger les libertés fondamentales, parer aux cyberattaques et restaurer la confiance minée par des pratiques commerciales douteuses, le texte astreint les entreprises à de sérieuses transformations. L'objectif étant de les responsabiliser dans la gestion de leurs données : où sont-elles stockées ? A qui appartiennent-elles ? Pour combien de temps ? Selon une étude OnePoll pour Citrix, les entreprises enregistreraient 540 données clients par jour. Une bonne partie les partagent avec des fournisseurs et des partenaires, et 15 % avouent même en perdre la trace... Les entreprises auront fort à faire : mise à jour et sécurisation des fichiers ainsi que des systèmes d'exploitation, études d'impact, process de crise (en cas de faille de sécurité), archivage de la traçabilité du consentement du client... Le principe de protection doit être intégré dès la conception - ce que l'on appelle le « privacy by design ». « C'est un changement de philosophie important pour les entreprises :nous passons d'un système très déclaratif à un système dans lequel il faudra intégrer, à tout instant, cette protection des données », explique Emilie Dumerain, la responsable juridique du Syntec, syndicat des entreprises conseil du numérique.
Création d'un label
Premières concernées : les entreprises du digital ou du commerce dont les portefeuilles de données, souvent garnis, sont un enjeu stratégique. Ainsi, une société qui, à l'occasion d'un jeu commercial, en profitait pour glaner un maximum de coordonnées (mail, adresse, téléphone...) devra se montrer moins gourmande. Idem dans la gestion des newsletters ou autres cookies. Le texte renforce aussi les contrôles et la gamme de sanctions, qui iront de la suspension de données à la mise en demeure, voire à une amende atteignant 4 % du chiffre d'affaires ! La menace n'est pas simplement financière. En cas de non-conformité, le coup de semonce viendra aussi des consommateurs.
Un label devrait distinguer les entreprises qui y sont passées. « La sanction viendra surtout des consommateurs, qui, déjà réticents à communiquer leurs données personnelles, privilégieront les marques labellisées », relève Marine Brogli, à la tête de DPO Consulting, spécialisé dansl'accompagnement au RGPD. Les entreprises françaises sont-elles prêtes à franchir l'obstacle ? Les plus grandes s'y préparent. Selon un baromètre IDC pour Syntec Numérique publié le 7 décembre, 58 % des entreprises (*) jugent l'objectif « atteignable » d'ici le 25 mai 2018. Un quart (28 %) a même pris de l'avance et sera en conformité fin 2017.
La plupart de ces entreprises « matures » sur ce dossier ont déjà cartographié leurs données et identifié leurs applications concernées par le RGPD, grâce à leurs directions des services informatiques. En revanche, toutes ne sont pas prêtes : 42 % des entreprises avouent « prendre tout juste conscience du sujet ». Dépourvues de gros services informatiques, moins informées, nombre de PME sont à la traîne. Certes, la directive est moins contraignante pour elles - pas de nomination d'un data protection officer par exemple -, mais la mise en conformité est chronophage. « La première difficulté est d'avoir le personnel ressource », reconnaît Emilie Dumerain. Pourtant, les enjeux sont cruciaux, à en croire Laurent Courtecuisse, avocat chez NMCG Associés, qui conseille des start-up sur ces questions. « Les PME n'ont pas les moyens de gérer cette data, alors que c'est un elément essentiel de leur valeur ! Alors qu'elles ont bien compris la nécessité de protéger leur marque, elles doivent adopter le même reflexe avec leurs données. Car, en cas d'audit, pour être racheté ou pour lever des fonds, avoir respecté ces règles sera déterminant. » Le Syntec organise un tour de France pour accompagner les entreprises. Il n'est pas seul : des sociétés conseil sont déjà sur les rangs pour investir ce marché de plusieurs milliards d'euros.
DATE-CHARGEMENT: 8 décembre 2017
LANGUE: FRENCH; FRANÇAIS
NOTES: * Sondage réalisé en juin 2017 par IDC pour Syntec Numérique auprès de 150 DSI d'entreprises de 500 salariés.
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
237 of 500 DOCUMENTS
Les Echos
vendredi 8 décembre 2017
Un business en or pour les cabinets de conseil
AUTEUR: MARION KINDERMANS
RUBRIQUE: ARTICLE_SOUS; Pg. 26 N°. 22589
LONGUEUR: 531 mots
ENCART: L'accompagnement des entreprises à la nouvelle réglementation européenne ouvre un marché florissant pour les cabinets de conseil.
Une manne pour les cabinets d'avocats, les SSII et autres sociétés de conseil de la transformation numérique. D'ici le 25 mai 2018, toutes les entreprises européennes ainsi que celles qui opèrent sur le marché de l'Union européenne, ou détiennent des informations sur des individus membres, doivent se mettre en conformité avec le RGPD, le fameux « règlement général sur la protection des données ». Une démarche trop complexe pour la mener seul et qui fait donc les choux gras des professionnels de l'accompagnement. Dans l'étude IDC pour Syntec Numérique, publiée le 7 décembre, les dépenses des entreprises en logiciels et services sont estimées à 4,3 milliards sur 2017-2021. Avec un climax, atteint en 2019, à 976 millions d'euros.
La filière est dans les starting-blocks depuis plusieurs mois. Les gros du conseil, bien sûr - Wavestone, Capgemini... - ont créé des pôles RGPD. Les spécialistes des données personnelles, qui se sont montés dans la foulée de la loi française du 6 janvier 1978, et de la directive européenne de 1995, fourbissent eux aussi leurs armes. Au printemps, le spécialiste ActeCil s'est associé à l'éditeur belge Rever pour créer un logiciel d'aide aux entreprises.
Le RGPD a aussi fait venir de nouveaux entrants. C'est le cas, par exemple, de DPO Consulting, créé en 2015 par Marine Brogli, ex-responsable juridique en protection des données chez Ikea France et L'Oréal. « Le marché est énorme », confirme la dirigeante, qui compte une trentaine de clients - start-up, PME et grands groupes - et a dû embaucher 26 personnes (juristes, ingénieurs informatiques, experts en sécurité informatique...) pour répondre à la demande. Les offres en sécurité de l'information de BSI Group, organisme de certification, ont connu un succès exponentiel, notamment la norme ISO 27001, qui sert de base structurante à la RGPD. « La réglementation booste déjà notre chiffre d'affaires, mais cela s'accélérera début 2018 », explique Lina Thaier, chargé d'affaires chez BSI Group.
De la banque et assurances aux industriels qui se positionnent sur les objets connectés, en passant par les enseignes du commerce et des services et les professionnels du bâtiment, tous les secteurs sont concernés par cette mini-révolution. Le chantier est vaste. « Les entreprises doivent à la fois adapter leur système informatique et revoir leur gouvernance pour répondre aux nouvelles règles », explique Emilie Dumérain, déléguée juridique de Syntec Numérique, qui fédère les entreprises du secteur. L'accompagnement à la mise en conformité peut durer de un à six mois.
Le business créé devrait durer sur le long terme. Certains cabinets se positionnent pour assurer la fonction de « data private officer » (DPO), imposée par la nouvelle réglementation, pour le compte des grands groupes, notamment étrangers, qui doivent avoir une structure représentative en Europe. Pour fidéliser sa clientèle, DPO Consulting a même créé une plate-forme, MyDPO, qu'elle commercialisera par le biais de licence annuelle.
Voir aussi:
[03/08/2017] La cybersécurité est la clef de notre liberté numérique
Voir aussi:
[28/01/2017] Données personnelles : le respect de la loi laisse à désirer
DATE-CHARGEMENT: 8 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
238 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Jeudi 7 Décembre 2017
"Nous préparons un processus d'amélioration continu après la mise en place du RGPD"
AUTEUR: Philippe Crouzillacq
RUBRIQUE: INTERVIEW; Industrie
LONGUEUR: 940 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la DPO de Schneider Electric évoque son action sur la gestion des données personnelles au sein du groupe industriel français.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est aujourd'hui votre place dans l'organisation de Schneider Electric ? Daniele Nguyen est la DPO de Schneider Electric. © Schneider Electric
Daniele Nguyen. Je viens des ressources humaines. J'ai occupé différents postes, dans le recrutement, comme responsable du personnel dans une usine à Grenoble, puis au siège parisien de Schneider Electric, où aux côtés du DRH Groupe j'étais en charge de la communication RH, puis des relations sociales du Groupe.
En 2007, j'ai été nommé CIL tout en continuant à travailler en RH et à traiter d'autres dossiers en parallèle. Au fil des ans, avec le développement de la stratégie digitale de Schneider Electric, la mission de protection des données est devenue de plus en plus importante. Dans ce contexte en 2010, Schneider Electric a créé le poste de Group data privacy officer et j'ai été nommé DPO. J'ai un rôle de coordination globale sur la protection des données personnelles au sein du groupe. En 2013, je rejoins la direction juridique.
Quels sont les principaux enjeux de votre action au sein de Schneider Electric ?
Ces dernières années tout se digitalise, ce qui entraîne beaucoup de changements dans le système d'information. Nous sommes aussi amenés à intégrer et à gérer des partenaires. Côté collaborateurs et côtés clients il y a de plus en plus d'applications mobiles qui permettent aux clients de faire des choses. Tout cela constitue autant de défis pour la protection des données personnelles. Nous optons pour une approche empirique, pragmatique et responsable qui vise avant tout à créer de la confiance. Je suis convaincue qu'une bonne protection des données personnelles est un avantage concurrentiel pour l'entreprise.
Quelles premières mesures avez-vous prises à votre arrivée ?
D'abord, comprendre l'organisation de l'entreprise et les différents processus métiers. Puis faire un état des lieux de l'ensemble des traitements de fichiers que détiennent les différentes entités de l'entreprise. Enfin, et c'est l'un des éléments les plus essentiels, il faut aller à la rencontre des gens. Avec mon équipe, j'ai travaillé à la mise en place d'une organisation de gouvernance de la protection des données personnelles et j'ai fait nommer des relais dans chacun des pays où Schneider Electric est présent. Nous avons mis en place un registre au sens de ce qu'entend la Cnil. Avec le Règlement européen ce registre va s'élargir aux autres pays européens et va devenir obligatoire aussi bien pour l'entreprise que pour les fournisseurs de l'entreprise.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Sur le terrain, nous avons nommé des représentants, des "champions" de la protection des données personnelles"
Mon rôle est de faire connaître les règles relatives à la protection des données personnelles aux différentes entités de l'entreprise et aux personnes qui traitent les données. Cela implique de faire beaucoup de pédagogie. Concernant le Règlement européen, sa médiatisation et aussi le fait qu'en cas de non-conformité une entreprise s'expose à des sanctions financières conséquentes. Cela a entraîné une véritable prise de conscience ce qui, au quotidien, facilite le travail du DPO.
Nous avons mis en place des formations à plusieurs niveaux. L'une en e.learning où est expliqué tout de ce que l'ensemble des collaborateurs doivent savoir sur la protection des données personnelles. Les autres sont des formations sur-mesure très orientées métiers et qui traitent de sujets plus complexes et moins connus. C'est un préalable pour les aider à construire un plan d'action de conformité. Sur le terrain, nous avons nommé des représentants, des "champions" de la protection des données personnelles, qui sont formés, qui accompagnent les collaborateurs, et dont je suis chargée de coordonner le travail.
Quels sont vos principaux chantiers à venir ?
Continuer notre programme de mise en conformité au Règlement européen (RE) applicable le 25 mai 2018. Il nous faut mettre en place une culture de "l'accountability", c'est-à-dire de la "responsabilisation des acteurs". C'est l'un des principes du règlement. Et au-delà de la simple démarche de mise en conformité, il s'agit aussi de développer pour l'avenir un processus d'amélioration continu. Car tout ne va pas s'arrêter le 25 mai 2018. Nous avons mis en place une organisation de gouvernance de ce projet en clarifiant qui fait quoi, et qui est responsable de quoi.
Avez-vous des contacts avec d'autres CIL ou responsables en charge de la protection des données personnelles ?
En 2010, j'ai mis en place un groupe d'échange avec des homologues d'autres entreprises, la plupart du CAC 40, parce que je ne trouvais pas d'endroits où l'on pouvait parler de manière directe et échanger des informations sur nos entreprises respectives de manière confidentielle. C'est un groupe d'échange de pratiques, entre pairs. Nous sommes une dizaine et l'on se voit tous les deux mois sur une thématique et nous en discutons. C'était indispensable, car il arrive parfois qu'en tant que DPO on se sente un peu seule pour gérer telle ou telle problématique.
Par ailleurs, je suis membre de l'IAPP (International association of privacy professionals). C'est un organisme américain présent dans certains pays. Des réunions en soirée sont organisées et cela permet de se faire un réseau de DPO au niveau international.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 7 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
239 of 500 DOCUMENTS
La Tribune.fr
Jeudi 7 Décembre 2017 8:33 AM CET
Pour Cédric Villani, "la France n'a pas perdu la guerre de l'IA"
AUTEUR: Erick Haehnsen
RUBRIQUE: TECHNOS & MEDIAS; INFORMATIQUE
LONGUEUR: 1055 mots
ENCART: Interview de Cédric Villani, chercheur en mathématiques (médaille Fields 2010), député (LRM) et vice-président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques (Opecst), chargé par le gouvernement de la mission Intelligence artificielle (IA), dont le rapport doit être rendu en janvier prochain. Propos recueillis par Erick Haehnsen
LA TRIBUNE - Laboratoires de recherche, universités, écoles d'ingénieurs, startups, accélérateurs... Où se trouvent les pôles d'excellence de notre écosystème de l'IA ? CÉDRIC VILLANI - L'IA, c'est un écosystème, un sujet de confluence mettant en oeuvre les compétences les plus variées : éthiques, philosophiques, politiques, scientifiques, économiques... Ses usages sont également des plus variés. Il est donc normal que l'on y pense en termes de pôles de compétitivité. Pour la partie la plus théorique, Paris est en tête. Puis viennent le plateau de Saclay ainsi que des villes comme Lille, Grenoble, Toulouse, Sophia Antipolis... Si l'on s'intéresse aux startups, la palette est plus large. Il faut ajouter aux précédentes des villes comme Rouen, Bordeaux, Nantes ou Lyon.
La France a renforcé son système de startups. Un gros travail a été accompli par les gouvernements précédents. Même si, vue de l'étranger, la France peut encore apparaître rigide dans ses réglementations, notamment parce qu'il semble difficile de licencier. Bien des clichés vont tomber. Le contexte politique peut-il changer la donne ? Au niveau politique, il y a un énorme changement. Avec le nouveau président de la République ainsi que les nouveaux députés - dont certains, comme Bruno Bonnell, sont des serial entrepreneurs de l'innovation -, il s'est constitué une communauté beaucoup plus à l'aise à l'égard de l'écosystème de l'innovation que l'équipe précédente. Quelle peut être la place de la France en matière d'IA ? Pour le Dr Laurent Alexandre, dont le livre La Guerre des intelligences [aux éd. JC Lattès, ndlr] fait beaucoup parler, la France a déjà perdu la guerre de l'IA et de la connaissance face aux États-Unis et à la Chine. Je suis plus optimiste. En Europe, le Royaume-Uni a été le premier à publier une vraie stratégie de l'IA. C'est aussi le pays d'Alan Turing, de la cryptographie... Mais la France arrive juste après. De plus, c'est la première force européenne en matière de startup. Tout n'est pas perdu, mais, il y a des pays plus enthousiastes. Par exemple, la Finlande ou l'Estonie connaissent une réelle adhésion populaire à la technologie et à l'innovation. Quels sont les freins à l'IA ? De même qu'il existe un marketing de l'adhésion à l'IA, il existe un marketing de la peur (pertes massives d'emplois, robots tueurs...). Il faut savoir qu'il existe une deuxième vague de ce scepticisme, portée notamment par des personnalités comme Cathy O'Neil qui, dans son livre Weapons of Math Destruction [aux éd. Crown, en anglais], pointe le danger posé par les modèles mathématiques [en prenant pour exemple la crise des subprimes]. Son principal argument est que les modèles prédictifs ne sont jamais neutres. Ils reflètent les objectifs et l'idéologie de ceux qui les créent. Et ont tendance à jouer contre les pauvres, renforçant ainsi les inégalités dans la société. Il existe également des freins culturels qui touchent, entre autres, au respect de la vie privée et des données personnelles. Ces préoccupations varient d'un pays à l'autre. En France, la peur du flicage provient de l'époque de Pétain, du nazisme, de la déportation... Nous avons appris qu'il faut faire très attention avec les données personnelles. Aujourd'hui, nous devons trouver de nouveaux équilibres. Pourtant, les algorithmes d'IA sont une chose et les données, une autre... Dans les faits, les données sont complètement inséparables des algorithmes d'IA. Car ces derniers font un usage effréné des données. Il faut pouvoir les acquérir, savoir comment les classer, les nettoyer, les enrichir, les protéger, déterminer qui a le droit d'y accéder... Mais comment faire évoluer le modèle européen des données ? À cet égard, que pensez-vous du Règlement général sur la protection des données (RGPD) qui va s'appliquer, dès le 25 mai prochain, dans toute l'Europe ? Rappelons qu'il menace d'une amende de 4% du chiffre d'affaires les entreprises non conformes ? Je fais partie de ceux qui pensent que le RGPD est un facteur d'innovation. De nouvelles architectures de logiciels et de nouvelles méthodes de traitement des données vont se développer. Le RGPD est une incitation à trouver des modèles plus respectueux et plus explicatifs. À quel moment allez-vous remettre le rapport de votre mission gouvernementale sur l'IA ? Il sera remis fin janvier. L'équipe de la mission comprend une demi-douzaine de personnes, dont un grand expert de l'IA, Marc Schoenauer, directeur de recherche à l'Inria de Saclay [Institut national de recherche en informatique et automatique]. Nous organisons des tables rondes qui, pendant près de trois heures, rassemblent chacune une dizaine de parties prenantes. La mission aura interrogé 250 personnes. En plus du rapport gouvernemental, il y aura une synthèse dont nous voulons que tout le monde puisse s'emparer. Ce devrait être un ouvrage disponible en librairie, rédigé dans une langue accessible et accompagné de documents audiovisuels. Une chose est sûre : cette synthèse doit être citoyenne. Le rapport France IA du précédent gouvernement préconisait d'investir 1,5 milliard d'euros dans l'IA. Combien prévoyez-vous ? Nous n'en sommes pas là ! Développer l'IA en France n'est pas qu'une question d'investissement public. L'IA pose la question des données qu'il faut acheter, stocker et gérer, notamment du point de vue de la souveraineté. Pour des raisons de sécurité et d'efficacité, il faut s'interroger sur le cloud en sachant que le projet de « cloud souverain » à la française a été un échec. Les Américains sont très en avance sur nous. Bien sûr, en France, nous avons l'hébergeur OVH, mais il lui faudrait consentir d'énormes investissements pour se hisser au niveau des Amazon, Google et Microsoft. Dans ce contexte, il n'est pas question de saupoudrer les deniers publics. Quelles sont les réflexions les plus cruciales que vous inspire l'IA ? La première est pragmatique : qui va former nos TPE, PME, ETI pour éviter qu'elles ne se tournent que vers les géants de l'IA ? Ensuite, j'ai une réflexion théorique. L'IA s'est développée de manière empirique : ça marche, mais on ne sait pas comment ni pourquoi. Quels sont les vrais concepts qui sous-tendent l'IA ? Nous ne le savons pas. _________ >> Conversation avec Cédric Villani, Novembre 2016
Cédric Villani, Mathématicien et Député LRM de l'Essonne
DATE-CHARGEMENT: 7 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
240 of 500 DOCUMENTS
La Tribune
Jeudi 7 Décembre 2017
RGPD : l Europe enfin stratège dans la bataille de l économie numérique
AUTEUR: Nicolas Rieul
RUBRIQUE: OPINIONS; Pg. 116
LONGUEUR: 743 mots
ENCART: RGPD, voici 4 lettres qui, mises bout à bout, forment un acronyme qui va bouleverser prochainement la vie de 500 millions d'européens. Pourtant, ce dispositif est peu connu du grand public et nombreux sont ceux qui ne veulent pas en entendre parler. Le RGPD, Règlement Général sur la Protection des Données, entrera pourtant en vigueur le 25 mai 2018 et modifiera la façon dont les entreprises numériques traitent les données personnelles des consommateurs en Europe. Par Nicolas Rieul, VP Strategy EMEA, S4M
Le RGPD est critiqué par une grande partie des acteurs économiques concernés, arguant qu'il met à mal une économie numérique en croissance et créatrice d'emplois. C'est en fait tout le contraire. En effet, ce Règlement va faire de toute société qui traite ou stocke des données de citoyens des 28 états membres des mini-forteresses. L'objectif étant de responsabiliser ces entreprises en renforçant la sécurisation et la protection des données personnelles auxquelles elles ont recours.
Le RGPD est un élément essentiel d'une stratégie dont les résultats sur l'économie européenne se feront ressentir d'ici 5 à 10 ans. Un outil puissant de protectionnisme Si le RGPD avait existé il y a 20 ans, Google, Facebook ou Amazon n'auraient pas pénétré le marché européen aussi facilement, avec des offres déployables sur le vieux continent à peine sorties de leurs garages ou laboratoires à idées aux Etats-Unis. Le délai nécessaire pour qu'ils s'adaptent à la réglementation aurait laissé le temps aux entreprises européennes de développer des services compétitifs. Le même phénomène s'est produit en Chine avec des acteurs comme WeChat ou Alibaba. Certes critiquable sous bien des aspects, le protectionnisme Chinois a pourtant permis l'émergence de champions régionaux, les BAT (Baidu, Alibaba, Tencent). Le RGDP va donner le même type de moyens à l'Union Européenne, avec une puissance inégalée. Signe fort de cette impulsion : Isabelle Falque-Pierrotin, Présidente de la CNIL française et du G29 (groupe des CNIL européennes) vient d'accéder il y a quelques semaines à la présidence de l'ICDPPC (coordination des CNIL mondiales). S'attaquer aux fondations de l'Intelligence Artificielle : la donnée En imposant à toutes les sociétés européennes de respecter des normes contraignantes dans la gestion et la sécurisation de leurs données, base de toute innovation technologique et notamment l'Intelligence Artificielle, l'Europe va freiner l'émergence et la pénétration de nouvelles start-ups américaines sur son marché. Trop occupées dans leurs premières années à développer leur activité sur leur marché intérieur, ces start-ups se heurteront à une nouvelle barrière réglementaire : le RGPD. Ce sont donc les fondations de leurs services technologiques, basées sur la donnée, qu'il leur faudra reconstruire avant de pouvoir séduire les utilisateurs européens. Cela laissera le temps aux sociétés européennes de développer des services similaires, pensés dès le départ dans le respect du RGPD et de « l'esprit européen ». Ces acteurs en conformité avec le RGPD, réglementation la plus contraignante du monde, n'auront par ailleurs aucun problème pour intégrer d'autres marchés internationaux. Qui peut le plus, peut le moins ! Une arme défensive contre l'impérialisme américain En parallèle d'une domination militaire, politique, culturelle et économique, les GAFA renforcent de manière incontestable la domination des Etats Unis sur le terrain des nouvelles des technologies. Le RGPD défend les entreprises européennes en ciblant ce qui est au c ur des services proposés par ces géants américains : les données. Avec des amendes allant jusqu'à 4% du chiffre d'affaire monde en cas de non-respect du RGPD, nous sommes très loin des 150 000 euros d'amende de la CNIL infligés à Facebook en mai dernier.
Cela change totalement la donne et met en péril le fonctionnement même de leur modèle. Le second volet défensif est celui de la fiscalité. L'Union a montré dernièrement sa volonté d'en finir avec les jeux de défiscalisation qui permettent aux GAFA d'échapper à l'impôt au sein de l'Union. La commissaire européenne à la Concurrence, Margrethe Vestager, a ainsi de nouveau dénoncé l'hégémonie des mastodontes américains lors du dernier Web Summit, n'hésitant pas à les accuser de « détruire la démocratie » et rappelant sa volonté de les contraindre à payer des impôts en Europe. Construire l'écosystème qui verra naitre le prochain Mark Zuckerberg en Europe Ces actions fiscales et réglementaires de protectionnisme sont défensives, de ce fait nous ne sommes pas naïfs au point de croire que l'Europe créera l'écosystème qui verra naitre le nouveau Mark Zuckerberg grâce au RGPD. Toutefois avec un tel dispositif, elle se dote de moyens permettant de voir naître en Europe les futurs géants du web. Alors arrêtons l'Eurobashing et saluons une Union Européenne stratège dans sa vision à long terme de la défense des intérêts économiques de la région.
(871095.png)
DATE-CHARGEMENT: 6 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
241 of 500 DOCUMENTS
La Tribune
Jeudi 7 Décembre 2017
Pour Cédric Villani, " la France n'a pas perdu la guerre de l'IA"
AUTEUR: Erick Haehnsen
RUBRIQUE: FOCUS; Pg. 14
LONGUEUR: 1055 mots
ENCART: Interview de Cédric Villani, chercheur en mathématiques (médaille Fields 2010), député (LRM) et vice-président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques (Opecst), chargé par le gouvernement de la mission Intelligence artificielle (IA), dont le rapport doit être rendu en janvier prochain. Propos recueillis par Erick Haehnsen
LA TRIBUNE - Laboratoires de recherche, universités, écoles d'ingénieurs, startups, accélérateurs... Où se trouvent les pôles d'excellence de notre écosystème de l'IA ? CÉDRIC VILLANI - L'IA, c'est un écosystème, un sujet de confluence mettant en oeuvre les compétences les plus variées : éthiques, philosophiques, politiques, scientifiques, économiques... Ses usages sont également des plus variés. Il est donc normal que l'on y pense en termes de pôles de compétitivité. Pour la partie la plus théorique, Paris est en tête. Puis viennent le plateau de Saclay ainsi que des villes comme Lille, Grenoble, Toulouse, Sophia Antipolis... Si l'on s'intéresse aux startups, la palette est plus large. Il faut ajouter aux précédentes des villes comme Rouen, Bordeaux, Nantes ou Lyon.
La France a renforcé son système de startups. Un gros travail a été accompli par les gouvernements précédents. Même si, vue de l'étranger, la France peut encore apparaître rigide dans ses réglementations, notamment parce qu'il semble difficile de licencier. Bien des clichés vont tomber. Le contexte politique peut-il changer la donne ? Au niveau politique, il y a un énorme changement. Avec le nouveau président de la République ainsi que les nouveaux députés - dont certains, comme Bruno Bonnell, sont des serial entrepreneurs de l'innovation -, il s'est constitué une communauté beaucoup plus à l'aise à l'égard de l'écosystème de l'innovation que l'équipe précédente. Quelle peut être la place de la France en matière d'IA ? Pour le Dr Laurent Alexandre, dont le livre La Guerre des intelligences [aux éd. JC Lattès, ndlr] fait beaucoup parler, la France a déjà perdu la guerre de l'IA et de la connaissance face aux États-Unis et à la Chine. Je suis plus optimiste. En Europe, le Royaume-Uni a été le premier à publier une vraie stratégie de l'IA. C'est aussi le pays d'Alan Turing, de la cryptographie... Mais la France arrive juste après. De plus, c'est la première force européenne en matière de startup. Tout n'est pas perdu, mais, il y a des pays plus enthousiastes. Par exemple, la Finlande ou l'Estonie connaissent une réelle adhésion populaire à la technologie et à l'innovation. Quels sont les freins à l'IA ? De même qu'il existe un marketing de l'adhésion à l'IA, il existe un marketing de la peur (pertes massives d'emplois, robots tueurs...). Il faut savoir qu'il existe une deuxième vague de ce scepticisme, portée notamment par des personnalités comme Cathy O'Neil qui, dans son livre Weapons of Math Destruction [aux éd. Crown, en anglais], pointe le danger posé par les modèles mathématiques [en prenant pour exemple la crise des subprimes]. Son principal argument est que les modèles prédictifs ne sont jamais neutres. Ils reflètent les objectifs et l'idéologie de ceux qui les créent. Et ont tendance à jouer contre les pauvres, renforçant ainsi les inégalités dans la société. Il existe également des freins culturels qui touchent, entre autres, au respect de la vie privée et des données personnelles. Ces préoccupations varient d'un pays à l'autre. En France, la peur du flicage provient de l'époque de Pétain, du nazisme, de la déportation... Nous avons appris qu'il faut faire très attention avec les données personnelles. Aujourd'hui, nous devons trouver de nouveaux équilibres. Pourtant, les algorithmes d'IA sont une chose et les données, une autre... Dans les faits, les données sont complètement inséparables des algorithmes d'IA. Car ces derniers font un usage effréné des données. Il faut pouvoir les acquérir, savoir comment les classer, les nettoyer, les enrichir, les protéger, déterminer qui a le droit d'y accéder... Mais comment faire évoluer le modèle européen des données ? À cet égard, que pensez-vous du Règlement général sur la protection des données (RGPD) qui va s'appliquer, dès le 25 mai prochain, dans toute l'Europe ? Rappelons qu'il menace d'une amende de 4% du chiffre d'affaires les entreprises non conformes ? Je fais partie de ceux qui pensent que le RGPD est un facteur d'innovation. De nouvelles architectures de logiciels et de nouvelles méthodes de traitement des données vont se développer. Le RGPD est une incitation à trouver des modèles plus respectueux et plus explicatifs. À quel moment allez-vous remettre le rapport de votre mission gouvernementale sur l'IA ? Il sera remis fin janvier. L'équipe de la mission comprend une demi-douzaine de personnes, dont un grand expert de l'IA, Marc Schoenauer, directeur de recherche à l'Inria de Saclay [Institut national de recherche en informatique et automatique]. Nous organisons des tables rondes qui, pendant près de trois heures, rassemblent chacune une dizaine de parties prenantes. La mission aura interrogé 250 personnes. En plus du rapport gouvernemental, il y aura une synthèse dont nous voulons que tout le monde puisse s'emparer. Ce devrait être un ouvrage disponible en librairie, rédigé dans une langue accessible et accompagné de documents audiovisuels. Une chose est sûre : cette synthèse doit être citoyenne. Le rapport France IA du précédent gouvernement préconisait d'investir 1,5 milliard d'euros dans l'IA. Combien prévoyez-vous ? Nous n'en sommes pas là ! Développer l'IA en France n'est pas qu'une question d'investissement public. L'IA pose la question des données qu'il faut acheter, stocker et gérer, notamment du point de vue de la souveraineté. Pour des raisons de sécurité et d'efficacité, il faut s'interroger sur le cloud en sachant que le projet de « cloud souverain » à la française a été un échec. Les Américains sont très en avance sur nous. Bien sûr, en France, nous avons l'hébergeur OVH, mais il lui faudrait consentir d'énormes investissements pour se hisser au niveau des Amazon, Google et Microsoft. Dans ce contexte, il n'est pas question de saupoudrer les deniers publics. Quelles sont les réflexions les plus cruciales que vous inspire l'IA ? La première est pragmatique : qui va former nos TPE, PME, ETI pour éviter qu'elles ne se tournent que vers les géants de l'IA ? Ensuite, j'ai une réflexion théorique. L'IA s'est développée de manière empirique : ça marche, mais on ne sait pas comment ni pourquoi. Quels sont les vrais concepts qui sous-tendent l'IA ? Nous ne le savons pas. _________ >> Conversation avec Cédric Villani, Novembre 2016
Cédric Villani, Mathématicien et Député LRM de l'Essonne
DATE-CHARGEMENT: 6 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
242 of 500 DOCUMENTS
Le Figaro
Jeudi 7 Décembre 2017
Pub digitale : la filière crée un label de qualité;
Le « Digital Ad Trust » certifiera les sites Internet les plus responsables à partir de mars 2018.
AUTEUR: Debouté, Alexandre
RUBRIQUE: MÉDIAS; Publicité; Pg. 29 N° 22807
LONGUEUR: 963 words
PUBLICITÉ
Fake news, contextes douteux, messages haineux ou propagandistes, fraude au clic... Les menaces qui pèsent de plus en plus lourdement sur les espaces publicitaires sur Internet conduisent aujourd'hui les professionnels à se mobiliser. À l'initiative des principaux syndicats du secteur - SRI, Udecam, Geste, UDA, ARPP et IAB France - un label de qualité, le « Digital Ad Trust » (DAT), a été élaboré. Il sera bientôt attribué aux sites qui s'engagent dans des « pratiques publicitaires responsables ». C'est à eux d'en faire la demande. Une première liste de sites labellisés sera publiée en mars 2018. Les applications mobiles, aux profils techniques plus complexes, feront l'objet d'une démarche similaire dans un second temps.
Cela fait plusieurs mois que l'interprofession se penche sur les grands maux de la publicité en ligne, qui mettent à mal l'activité des régies des éditeurs de sites et, plus largement, jettent l'opprobre sur l'ensemble de l'écosystème publicitaire. Les problèmes auxquels le secteur est confronté sont désormais bien identifiés : poids grandissant de la fraude, qui représenterait jusqu'à 20 % des budgets publicitaires digitaux dans le monde, pratiques agressives comme le « pop-up » (fenêtre de pub qui s'ouvre intempestivement) ou l'« autoplay » (lancement automatique de vidéo avec son tonitruant), mauvais environnements pour communiquer (annonceurs douteux, vidéos contenant des images ou des propos violents et/ou haineux...) et piratage des données.
« Il fallait que l'ensemble de la filière prenne le taureau par les cornes, explique Jean-Baptiste Rouet, président de la commission digitale de l'Union des entreprises de conseil et achat médias (Udecam) et chief data officer de Publicis Media. Il y a beaucoup de scandales qui frappent des plateformes bien connues, mais très peu d'annonceurs qui coupent leurs investissements... Le label que nous créons doit prévenir l'érosion de la confiance des annonceurs et redonner de la valeur aux inventaires des éditeurs les plus vertueux. »
La pose d'un tag
Le DAT a été construit sous les regards attentifs du Centre d'étude des supports de publicité (CESP) et de l'Alliance pour les chiffres de la presse et des médias (ACPM), désignés comme accompagnateurs de la démarche après appels d'offres. « Les débats ont été intenses mais nous avons réussi, en un temps finalement assez limité, à trouver un consensus sur des critères engageants pour les éditeurs et leur régie », indique Valérie Morrisson, directrice générale du CESP.
Au final, cinq critères ont été retenus, sans hiérarchie entre eux. Tous reposent exclusivement sur des mesures indépendantes émanant de tiers certifiés par le Media Rate Council (MRC), un organisme américain qui s'assure de la qualité des outils proposés, ou, à terme, par l'European Visibility Certification Framework (EVCD), son équivalent en Europe. « C'est un point capital, souligne Jean-Baptiste Rouet. Les sites qui demandent la labellisation doivent accepter la pose d'un tag par le tiers certificateur. »
La « brand safety » doit garantir aux annonceurs un contexte sûr pour leurs publicités, c'est-à-dire expurgé de contenus violents, incitant à la haine ou portant atteinte à autrui. Les sites ne doivent pas dépasser des seuils limites, fixés volontairement à des niveaux très bas, tant en matière de « brand safety », que de fraude ou de visibilité. Pour ce dernier critère, il a fallu tenir compte du fait que les politiques commerciales des régies peuvent être très différentes selon qu'elles proposent des dispositifs de visibilité très forte ou davantage de performance, sachant qu'elles offrent souvent les deux. Une campagne d'image a ainsi plus vocation à être bien visible qu'une campagne promotionnelle, qui cherchera d'abord à être efficace en termes de taux de clic par exemple. Le but que se fixe le label est, a minima, d'améliorer le taux de visibilité moyen.
Les deux autres critères retenus sont l'expérience des utilisateurs (appelée « UX » dans le jargon marketing) et l'information en matière de données personnelles. Sur le premier point, l'objectif général est de lutter contre les mauvaises pratiques qui font fuir les internautes, en encourageant l'utilisation de formats publicitaires bien tolérés. S'agissant enfin de l'exploitation des données personnelles, les sites labellisés devront être en conformité avec le règlement européen sur leur protection (RGPD), applicable à partir du 25 mai 2018. Ce texte donne des droits aux internautes (information, droit à l'oubli...) et des devoirs aux utilisateurs de data.
Une alternative aux Gafa
Le DAT est, en France, la première réponse publicitaire structurée des éditeurs en ligne à la toute puissance des géants du Web, Gafa en tête, qui trustent plus des deux tiers des investissements digitaux dans le monde (en dehors de la Chine) et captent désormais la totalité de la croissance du marché. C'est à ce jour une démarche inédite, et c'est la plus aboutie dans le monde. « Les engagements que nous prenons avec ce label vont renforcer nos offres et structurer les pratiques pour créer une alternative robuste et certifiée », se félicite Sophie Poncin, présidente du Syndicat des régies Internet (SRI) et directrice déléguée d'Orange Advertising France.
Les annonceurs, réunis en France au sein de l'Union des annonceurs (UDA), ont été évidemment pleinement associés à cette démarche. « Le Digital Ad Trust va constituer rapidement un marqueur de sécurité et de qualité pour les annonceurs », estime Jean-Luc Chetrit, directeur général de l'UDA. Le syndicat des grands annonceurs français doit parallèlement annoncer, ce jeudi, une série d'initiatives visant, de la même manière, à responsabiliser les acteurs de la filière autour des enjeux de transparence et d'efficacité.
DATE-CHARGEMENT: 6 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: it office
Les menaces qui pèsent de plus en plus lourdement sur les espaces publicitaires du Net ont conduit les professionnels à élaborer un label de qualité, le « Digital Ad Trust » (DAT).
Konstantin Sutyagin - stock.adobe.com
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
243 of 500 DOCUMENTS
Le Figaro Économie
Jeudi 7 Décembre 2017
Pub digitale : la filière crée un label de qualité
AUTEUR: Debouté, Alexandre
RUBRIQUE: MÉDIAS; Publicité; Pg. 29 N° 22807
LONGUEUR: 963 mots
PUBLICITÉ Fake news, contextes douteux, messages haineux ou propagandistes, fraude au clic... Les menaces qui pèsent de plus en plus lourdement sur les espaces publicitaires sur Internet conduisent aujourd'hui les professionnels à se mobiliser. À l'initiative des principaux syndicats du secteur - SRI, Udecam, Geste, UDA, ARPP et IAB France - un label de qualité, le « Digital Ad Trust » (DAT), a été élaboré. Il sera bientôt attribué aux sites qui s'engagent dans des « pratiques publicitaires responsables ». C'est à eux d'en faire la demande. Une première liste de sites labellisés sera publiée en mars 2018. Les applications mobiles, aux profils techniques plus complexes, feront l'objet d'une démarche similaire dans un second temps.Cela fait plusieurs mois que l'interprofession se penche sur les grands maux de la publicité en ligne, qui mettent à mal l'activité des régies des éditeurs de sites et, plus largement, jettent l'opprobre sur l'ensemble de l'écosystème publicitaire. Les problèmes auxquels le secteur est confronté sont désormais bien identifiés : poids grandissant de la fraude, qui représenterait jusqu'à 20 % des budgets publicitaires digitaux dans le monde, pratiques agressives comme le « pop-up » (fenêtre de pub qui s'ouvre intempestivement) ou l'« autoplay » (lancement automatique de vidéo avec son tonitruant), mauvais environnements pour communiquer (annonceurs douteux, vidéos contenant des images ou des propos violents et/ou haineux...) et piratage des données.« Il fallait que l'ensemble de la filière prenne le taureau par les cornes, explique Jean-Baptiste Rouet, président de la commission digitale de l'Union des entreprises de conseil et achat médias (Udecam) et chief data officer de Publicis Media.
Il y a beaucoup de scandales qui frappent des plateformes bien connues, mais très peu d'annonceurs qui coupent leurs investissements... Le label que nous créons doit prévenir l'érosion de la confiance des annonceurs et redonner de la valeur aux inventaires des éditeurs les plus vertueux. »
La pose d'un tag
Le DAT a été construit sous les regards attentifs du Centre d'étude des supports de publicité (CESP) et de l'Alliance pour les chiffres de la presse et des médias (ACPM), désignés comme accompagnateurs de la démarche après appels d'offres. « Les débats ont été intenses mais nous avons réussi, en un temps finalement assez limité, à trouver un consensus sur des critères engageants pour les éditeurs et leur régie », indique Valérie Morrisson, directrice générale du CESP.Au final, cinq critères ont été retenus, sans hiérarchie entre eux. Tous reposent exclusivement sur des mesures indépendantes émanant de tiers certifiés par le Media Rate Council (MRC), un organisme américain qui s'assure de la qualité des outils proposés, ou, à terme, par l'European Visibility Certification Framework (EVCD), son équivalent en Europe. « C'est un point capital, souligne Jean-Baptiste Rouet. Les sites qui demandent la labellisation doivent accepter la pose d'un tag par le tiers certificateur. »La « brand safety » doit garantir aux annonceurs un contexte sûr pour leurs publicités, c'est-à-dire expurgé de contenus violents, incitant à la haine ou portant atteinte à autrui. Les sites ne doivent pas dépasser des seuils limites, fixés volontairement à des niveaux très bas, tant en matière de « brand safety », que de fraude ou de visibilité. Pour ce dernier critère, il a fallu tenir compte du fait que les politiques commerciales des régies peuvent être très différentes selon qu'elles proposent des dispositifs de visibilité très forte ou davantage de performance, sachant qu'elles offrent souvent les deux. Une campagne d'image a ainsi plus vocation à être bien visible qu'une campagne promotionnelle, qui cherchera d'abord à être efficace en termes de taux de clic par exemple. Le but que se fixe le label est, a minima, d'améliorer le taux de visibilité moyen.Les deux autres critères retenus sont l'expérience des utilisateurs (appelée « UX » dans le jargon marketing) et l'information en matière de données personnelles. Sur le premier point, l'objectif général est de lutter contre les mauvaises pratiques qui font fuir les internautes, en encourageant l'utilisation de formats publicitaires bien tolérés. S'agissant enfin de l'exploitation des données personnelles, les sites labellisés devront être en conformité avec le règlement européen sur leur protection (RGPD), applicable à partir du 25 mai 2018. Ce texte donne des droits aux internautes (information, droit à l'oubli...) et des devoirs aux utilisateurs de data.
Une alternative aux Gafa
Le DAT est, en France, la première réponse publicitaire structurée des éditeurs en ligne à la toute puissance des géants du Web, Gafa en tête, qui trustent plus des deux tiers des investissements digitaux dans le monde (en dehors de la Chine) et captent désormais la totalité de la croissance du marché. C'est à ce jour une démarche inédite, et c'est la plus aboutie dans le monde. « Les engagements que nous prenons avec ce label vont renforcer nos offres et structurer les pratiques pour créer une alternative robuste et certifiée », se félicite Sophie Poncin, présidente du Syndicat des régies Internet (SRI) et directrice déléguée d'Orange Advertising France.Les annonceurs, réunis en France au sein de l'Union des annonceurs (UDA), ont été évidemment pleinement associés à cette démarche. « Le Digital Ad Trust va constituer rapidement un marqueur de sécurité et de qualité pour les annonceurs », estime Jean-Luc Chetrit, directeur général de l'UDA. Le syndicat des grands annonceurs français doit parallèlement annoncer, ce jeudi, une série d'initiatives visant, de la même manière, à responsabiliser les acteurs de la filière autour des enjeux de transparence et d'efficacité.
DATE-CHARGEMENT: 6 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: it office
Les menaces qui pèsent de plus en plus lourdement sur les espaces publicitaires du Net ont conduit les professionnels à élaborer un label de qualité, le « Digital Ad Trust » (DAT).
Konstantin Sutyagin - stock.adobe.com
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
244 of 500 DOCUMENTS
Le Cercle
jeudi 7 décembre 2017
L'Europe qui régule, l'Europe qui innove...
AUTEUR: LOIC RIVIERE
RUBRIQUE: ARTICLE
LONGUEUR: 657 mots
ENCART: L'Europe du numérique prend corps comme espace réglementaire à défaut de représenter une réalité économique tangible. Si les valeurs européennes s'affirment, l'impact de la régulation croissante des services numériques sur la capacité d'innovation en Europe doit faire débat.
Si l'Europe du numérique demeure à ce jour une fiction économique, elle prend progressivement corps en tant qu'espace réglementaire commun aux industries numériques. RGPD, NIS, paquet telecom et bientôt e-privacy : 4 directives ou règlements "numériques" ont vu le jour ces dernières années.
À quoi il faut ajouter des décisions drastiques de la Commission en matière de concurrence et les synergies croissantes des autorités nationales de régulation. En France aussi, en partie poussées par les acteurs historiquement régulés, les autorités de régulation sectorielles (Arcep, CSA) se sont engagées dans des stratégies d'"extension du domaine de la lutte"...
Des réglementations locales viennent enfin encadrer, d'autres diraient en réalité freiner, le développement des services des plateformes numériques comme Uber, Airbnb ou Deliveroo qui disruptent l'économie traditionnelle.
D'aucuns affirment que ce différentiateur réglementaire représente un atout inédit pour les entreprises européennes. C'est indéniablement l'affirmation de valeurs européennes dans la définition des règles du marché et la protection de la vie privée. D'autres y voient aussi le cache-sexe d'une stratégie européenne d'innovation indigente, voire le paravent de réflexes protectionnistes, ou encore le risque de faire peser des contraintes sur les seuls acteurs européens... La question doit en effet être posée !
On convoque régulièrement, mais en réalité souvent caricaturalement, le prix Nobel d'économie, Jean Tirole, pour fustiger les pratiques "abusives" des plateformes. Mais si ce dernier défend que les marchés technologiques ne sont pas irréductibles au droit de la concurrence, il n'en souligne pas moins que, sans tenir compte du caractère biface de ces marchés, des effets de réseau et des stratégies d'écosystèmes, on risque de se tromper lourdement.
De même, quand on évoque le statut des travailleurs des plateformes, Jean Tirole préconise de protéger le salarié plutôt que le salariat... L'écouter, c'est donc aussi repenser notre droit de la concurrence pour le renforcer plutôt que d'étendre les régulations sectorielles, adapter nos modèles de protection sociale plutôt que de les figer, réguler pour accompagner la transformation numérique plutôt que pour la freiner en créant des barrières à l'entrée comme on le fait pour les VTC...
On ne construit pas de stratégie de conquête industrielle sur de la régulation ! D'autant que les acteurs visés par les régulations européennes ont déjà engagé les démarches de conformité nécessaires, quitte à remettre en cause en partie leurs modèles initiaux.
Quitte à s'opposer vigoureusement comme Microsoft le fait, aux législations extraterritoriales qui les mettraient le cas échéant en défaut de conformité. Les acteurs européens n'obtiendront donc ni avantage comparatif durable, ni "level playing field" sans relever la bataille de l'innovation.
Plus grave, cette focalisation sur les plateformes pourrait nous détourner de nos pépites... En se concentrant de façon presque mortifère sur la domination des plateformes, on oublie de valoriser nos succès : dans l'industrie, les 4 leaders mondiaux du numérique sont européens et c'est Dassault Systèmes, 1er éditeur français, qui mène la danse en matière d'innovation dans l'industrie du futur.
Mais combien d'acteurs de taille semblable avons-nous su faire émerger au cours des quinze dernières années ? Zéro... Le scénario a plutôt consisté à faire de nos startups des scale-ups américaines ou asiatiques...
Mais avec le soutien-clé de la BPI et la prise de poids accentuée de nos fonds d'investissement, nos startups peuvent désormais se rêver scale-ups, futurs ETI européennes... C'est à ce prix-là seulement que la France et l'Europe pourront rivaliser sur les marchés technologiques mondiaux. L'Europe veut-elle être donc une pépinière d'ETI technologiques ou simplement le laboratoire de nouvelles régulations ? C'est ce débat-là qu'il faut aussi ouvrir...
DATE-CHARGEMENT: 20 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
245 of 500 DOCUMENTS
Le Cercle
jeudi 7 décembre 2017
RGPD : ce qu'il faut savoir de son impact sur la sous-traitance en entreprise
AUTEUR: Antoine Louiset
RUBRIQUE: ARTICLE; Vers une nouvelle relation entre le responsable de traitement et le sous-traitant
LONGUEUR: 721 mots
ENCART: RGPD est aujourd'hui au coeur de nombreuses discussions. Et pour cause, à partir du 25 mai 2018, ce règlement fera l'objet d'un texte de référence européen en matière de protection des données à caractère personnel. Face à ce changement, un aspect important doit être pris en compte par les entreprises : la sous-traitance. Comment les responsables de traitement et les sous-traitants doivent-ils appréhender l'arrivée du RGPD ?
Vers une nouvelle relation entre le responsable de traitement et le sous-traitant
Selon le site du CNRS, "La notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l'application de la directive 95/46/CE, car elles déterminent la ou les personnes chargées de faire respecter les règles de protection des données, la manière dont les personnes concernées peuvent exercer leurs droits, le droit national applicable, et le degré d'efficacité des autorités chargées de la protection des données."
La mise en application du Règlement Général sur la Protection des Données entend donc faire évoluer la relation qui unit le responsable de traitement au sous-traitant qui gère en direct les données à caractère personnel d'une entreprise.
Autrement dit, fini le temps où l'on pouvait changer de sous-traitant sans se poser de questions. Dans le cas où un sous-traitant décide de changer de sous-traitant, il doit impérativement en informer le responsable de traitement et mettre en place une procédure parfaitement cadrée.
De ce fait, le sous-traitant et le responsable de traitement doivent avoir un contrat qui liste l'ensemble des responsabilités du sous-traitant. Ce dernier ne peut pas faire n'importe quoi des données : il doit traiter les données à caractère personnel que sur instruction documentée du responsable de traitement. La confidentialité des données à caractère personnel est donc renforcée, les personnes autorisées à y accéder doivent être soumises à la confidentialité.
Le sous-traitant doit mettre en oeuvre des mesures techniques et organisationnelles pour répondre aux droits des personnes concernées par le traitement. Au terme de la prestation de services relatifs au traitement, le sous-traitant devra supprimer ou renvoyer toutes les données à caractère personnel au responsable de traitement.Le sous-traitant doit démontrer le respect de ses obligations, il peut se faire auditer pour le démontrer.
Les sous-traitants d'un sous-traitant sont soumis aux mêmes exigences que le sous-traitant. Le sous-traitant est donc considéré comme responsable du traitement pour le traitement en question.
Pour une sécurité renforcée : quels sont les bons réflexes à adopter en cas de violation des données ?
La sécurité du traitement des données à caractère personnel est plus que jamais au coeur des échanges entre le responsable du traitement et son sous-traitant. Pour une sécurité des plus efficaces, la mise en application des articles 33, 34, 35, 36 et 42 du RGPD sera à la base du succès de l'opération de sécurisation des données en cas de violation :
- Notifier à l'autorité de contrôle d'une violation de données à caractère personnel (Article 33).
- Communiquer à la personne concernée d'une violation de données à caractère personnel (Article 34).
- Analyser l'impact relatif à la protection des données (Article 35).
- Consulter préalablement l'autorité de contrôle au traitement si l'analyse d'un impact relatif à la protection des données indique que le traitement présente un risque élevé (Article 36).
- Certifier que le règlement a été respecté en phase finale (Article 42).
Le responsable de traitement a tout intérêt d'appliquer - et faire appliquer à ses sous-traitants - ces préconisations. C'est en effet lui qui décide et met en place les procédures de traitement des données à caractère personnel et en est responsable légalement. En plus, l'entreprise qu'il représente risque une amende et des dommages et intérêts en cas de plainte : autant d'arguments pour lui donner tous les moyens de réussir.
Une réglementation européenne à portée internationale
Qui est concerné ? Uniquement les entreprises européennes ? Non ! Toutes les entreprises qui utilisent des données personnelles européennes sont soumises à respecter cette nouvelle réglementation, qu'elles soient européennes ou étrangères. Comme l'indique le CNIL, "le règlement européen consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu'elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l'UE". La loi s'assure ainsi une portée internationale, mais aura-t-elle aussi de vrais moyens de contrôle à l'étranger ? C'est l'avenir très proche qui nous le dira.
DATE-CHARGEMENT: 20 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
246 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 6 Décembre 2017
"Le principal changement amené par le RGPD porte sur les traitements sous-traités"
AUTEUR: Philippe Crouzillacq
RUBRIQUE: INTERVIEW; Formation
LONGUEUR: 1206 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, le CIL de l'Essec évoque la gestion des données personnelles des 5 000 étudiants de l'école et des 100 000 comptes Google Apps de la communauté des anciens élèves.
JDN. Quel est votre parcours ? Pourquoi avoir choisi de vous orienter vers cette fonction et quelle est aujourd'hui votre place dans l'organisation de l'ESSEC ? Patrick Blum est le correspondant informatique et libertés de l'ESSEC. © Essec
Patrick Blum. Je suis diplômé de l'ESSEC. Après une première expérience professionnelle et un DESS en Informatique de gestion à Paris-Dauphine, je suis recruté par l'ESSEC en 1983 pour diriger le service. En 1984, j'ai effectué mes premières déclarations de traitement à la CNIL sur la gestion du concours et le fichier des étudiants. Après avoir été DSI pendant quelques années je me suis ensuite recentré sur la sécurité (dans un rôle de RSSI) et sur la conformité des systèmes d'information, avec un focus particulier sur les données personnelles. J'ai été nommé CIL (Correspondant Informatique et Libertés) en 2008. Aujourd'hui, ma fonction de CIL est une fonction autonome, et je ne dépends que du directeur général.
Quels sont les principaux enjeux de votre action au sein de l'ESSEC ?
Ma mission consiste à piloter la conformité des traitements de données personnelles, à permettre au business de se dérouler tout en respectant la vie privée des personnes concernées. L'ESSEC est une institution, qui célèbre cette année son 110ème anniversaire et qui emploie environ 600 collaborateurs ainsi que de nombreux enseignants intervenants non permanents.
Nous traitons des données personnelles pour environ 5 000 étudiants, des participants en formation permanente, nos diplômés et des milliers de prospects. Dans ce contexte, il ne s'agit pas pour nous de voir du jour au lendemain les coordonnées de telle ou telle personne se retrouver dans la nature, d'autant plus que l'ESSEC compte parmi ses diplômés de nombreuses personnalités du monde économique et parfois politique.
Par ailleurs, nos étudiants ont des comptes Google Apps (Google Apps for Education) et ils conservent ces comptes quand ils sont diplômés, ce qui représente aujourd'hui près de 100 000 comptes à gérer avec tous les risques et dérives que cela comporte (usurpations de comptes, phishing...).
Quelles premières mesures avez-vous prises à votre arrivée ?
Quand j'ai été nommé CIL en 2008 ma toute première activité a été d'établir un inventaire des traitements, le registre, ce qui a permis d'identifier les traitements qui n'avaient pas été déclarés. Dans ce domaine, il faut le reconnaître, la situation est de plus en plus complexe.
Il y a 10 ans, pour la création d'un traitement, les métiers se tournaient vers la DSI pour demander la mise en place d'un outil. Maintenant les métiers traitent souvent directement avec des fournisseurs de solutions sur Internet, qui font l'objet de contrats d'utilisation pas toujours conformes à nos obligations légales, et pour lesquels il convient de revoir les modalités juridiques de mise en ½uvre.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Dans ce métier, la participation à une communauté professionnelle est quelque chose de très important"
J'essaye de solliciter l'organisation interne de la maison pour avoir des relais. Tous les mois à l'occasion des journées d'intégration, je dispose d'une fenêtre d'une heure pour exposer aux nouveaux collaborateurs les points importants de la sécurité et la problématique de protection des données personnelles. Cela permet de faire passer quelques messages essentiels et de se faire connaître des personnes.
Par ailleurs, toutes les semaines, même si le rythme de parution et d'édition est soutenu, j'essaye de communiquer par mail à tous les collaborateurs sous la forme d'un écran, une sorte de fiche pratique qui se lit d'un seul coup d'oeil, sur un sujet lié à la protection des données personnelles. Un site est également disponible où chacun peut aller réviser ces thématiques.
Concernant les points d'amélioration, aujourd'hui je ne dispose pas de relais effectifs dans les métiers, ce qui fait que l'on se sent parfois un peu seul. Le Comex a été sensibilisé à cette question. L'idée serait d'avoir dans les grandes entités une douzaine de personnes à qui l'on donnerait formellement un rôle de relais. Des personnes qui auraient dans les métiers un rôle de correspondant pour les questions liées à la protection des données personnelles. Cela permettrait de faire des points réguliers de situation, de mieux faire passer le message, d'introduire plus de fluidité, de répandre la "bonne parole", et de faire remonter de manière systématique l'information sur les projets qui traitent des données, même s'ils n'impliquent pas la DSI.
Avez-vous des contacts avec d'autres CIL ou responsables en charge de la protection des données personnelles ?
Oui tout à fait. En tant que CIL nous avons la chance de pouvoir prendre part à plusieurs réseaux. Je parlerai de SupCIL. Ce réseau rassemble les correspondants Informatique et Libertés (CIL) des établissements d'enseignement supérieur et de recherche. Cela nous permet d'échanger via une liste de diffusion autour de thématiques très ciblées mais aussi de nous retrouver à l'occasion des deux journées organisées chaque année.
Je suis également membre de l'AFCDP (Association française des correspondants à la protection des données à caractère personnel) dont je suis aujourd'hui l'un des administrateurs. Dans ce métier, la participation à une communauté professionnelle est quelque chose de très important, car c'est un métier plutôt solitaire et il est important d'avoir des relations, d'échanger et de ne pas rester seul avec ses interrogations juridiques et techniques. C'est capital, cela permet de dédramatiser certaines problématiques.
Quels sont vos principaux chantiers à venir ?
Il faut bien considérer que pour une institution comme l'ESSEC qui dispose d'un CIL et qui s'intéresse depuis longtemps à la thématique de la protection des données personnelles, le nouveau règlement européen et donc la conformité RGPD, constituent une évolution, mais pas une révolution. Ce qui change pour nous en revanche c'est principalement l'impact sur les traitements sous-traités, via des applications dans le cloud, par exemple. Avant, quand nous demandions à un prestataire le descriptif et le mode de stockage des données, il pouvait arriver de nous entendre dire que cela n'était pas possible, car "constituant un secret de fabrication".
Maintenant, le RGPD nous donne l'obligation d'intégrer dans les contrats des clauses qui définissent la responsabilité de chacun (signalement de violations de données, de failles de sécurité...). Cela change tout et cela va nous amener à réviser tous les contrats existants pour intégrer un avenant pour ceux qui portent sur les données personnelles.
Par ailleurs, pour les nouveaux projets, le RGPD nous impose d'exiger que le chef de projet conduise désormais une "pré-analyse" d'impact pour déterminer si les données traitées peuvent faire courir un risque pour les libertés et les droits des individus, et lorsque le traitement le justifie, de conduire une analyse d'impact plus complète.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 6 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
247 of 500 DOCUMENTS
La Tribune.fr
Mercredi 6 Décembre 2017 10:50 AM CET
RGPD : l Europe enfin stratège dans la bataille de l économie numérique
AUTEUR: Nicolas Rieul
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 743 mots
ENCART: RGPD, voici 4 lettres qui, mises bout à bout, forment un acronyme qui va bouleverser prochainement la vie de 500 millions d'européens. Pourtant, ce dispositif est peu connu du grand public et nombreux sont ceux qui ne veulent pas en entendre parler. Le RGPD, Règlement Général sur la Protection des Données, entrera pourtant en vigueur le 25 mai 2018 et modifiera la façon dont les entreprises numériques traitent les données personnelles des consommateurs en Europe. Par Nicolas Rieul, VP Strategy EMEA, S4M
Le RGPD est critiqué par une grande partie des acteurs économiques concernés, arguant qu'il met à mal une économie numérique en croissance et créatrice d'emplois. C'est en fait tout le contraire. En effet, ce Règlement va faire de toute société qui traite ou stocke des données de citoyens des 28 états membres des mini-forteresses. L'objectif étant de responsabiliser ces entreprises en renforçant la sécurisation et la protection des données personnelles auxquelles elles ont recours.
Le RGPD est un élément essentiel d'une stratégie dont les résultats sur l'économie européenne se feront ressentir d'ici 5 à 10 ans. Un outil puissant de protectionnisme Si le RGPD avait existé il y a 20 ans, Google, Facebook ou Amazon n'auraient pas pénétré le marché européen aussi facilement, avec des offres déployables sur le vieux continent à peine sorties de leurs garages ou laboratoires à idées aux Etats-Unis. Le délai nécessaire pour qu'ils s'adaptent à la réglementation aurait laissé le temps aux entreprises européennes de développer des services compétitifs. Le même phénomène s'est produit en Chine avec des acteurs comme WeChat ou Alibaba. Certes critiquable sous bien des aspects, le protectionnisme Chinois a pourtant permis l'émergence de champions régionaux, les BAT (Baidu, Alibaba, Tencent). Le RGDP va donner le même type de moyens à l'Union Européenne, avec une puissance inégalée. Signe fort de cette impulsion : Isabelle Falque-Pierrotin, Présidente de la CNIL française et du G29 (groupe des CNIL européennes) vient d'accéder il y a quelques semaines à la présidence de l'ICDPPC (coordination des CNIL mondiales). S'attaquer aux fondations de l'Intelligence Artificielle : la donnée En imposant à toutes les sociétés européennes de respecter des normes contraignantes dans la gestion et la sécurisation de leurs données, base de toute innovation technologique et notamment l'Intelligence Artificielle, l'Europe va freiner l'émergence et la pénétration de nouvelles start-ups américaines sur son marché. Trop occupées dans leurs premières années à développer leur activité sur leur marché intérieur, ces start-ups se heurteront à une nouvelle barrière réglementaire : le RGPD. Ce sont donc les fondations de leurs services technologiques, basées sur la donnée, qu'il leur faudra reconstruire avant de pouvoir séduire les utilisateurs européens. Cela laissera le temps aux sociétés européennes de développer des services similaires, pensés dès le départ dans le respect du RGPD et de « l'esprit européen ». Ces acteurs en conformité avec le RGPD, réglementation la plus contraignante du monde, n'auront par ailleurs aucun problème pour intégrer d'autres marchés internationaux. Qui peut le plus, peut le moins ! Une arme défensive contre l'impérialisme américain En parallèle d'une domination militaire, politique, culturelle et économique, les GAFA renforcent de manière incontestable la domination des Etats Unis sur le terrain des nouvelles des technologies. Le RGPD défend les entreprises européennes en ciblant ce qui est au c ur des services proposés par ces géants américains : les données. Avec des amendes allant jusqu'à 4% du chiffre d'affaire monde en cas de non-respect du RGPD, nous sommes très loin des 150 000 euros d'amende de la CNIL infligés à Facebook en mai dernier.
Cela change totalement la donne et met en péril le fonctionnement même de leur modèle. Le second volet défensif est celui de la fiscalité. L'Union a montré dernièrement sa volonté d'en finir avec les jeux de défiscalisation qui permettent aux GAFA d'échapper à l'impôt au sein de l'Union. La commissaire européenne à la Concurrence, Margrethe Vestager, a ainsi de nouveau dénoncé l'hégémonie des mastodontes américains lors du dernier Web Summit, n'hésitant pas à les accuser de « détruire la démocratie » et rappelant sa volonté de les contraindre à payer des impôts en Europe. Construire l'écosystème qui verra naitre le prochain Mark Zuckerberg en Europe Ces actions fiscales et réglementaires de protectionnisme sont défensives, de ce fait nous ne sommes pas naïfs au point de croire que l'Europe créera l'écosystème qui verra naitre le nouveau Mark Zuckerberg grâce au RGPD. Toutefois avec un tel dispositif, elle se dote de moyens permettant de voir naître en Europe les futurs géants du web. Alors arrêtons l'Eurobashing et saluons une Union Européenne stratège dans sa vision à long terme de la défense des intérêts économiques de la région.
(871095.png)
DATE-CHARGEMENT: 6 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
248 of 500 DOCUMENTS
La Tribune.fr
Mercredi 6 Décembre 2017 8:00 AM CET
Intelligence artificielle : réguler sans brider !
AUTEUR: Sylvain Rolland
RUBRIQUE: TECHNOS & MEDIAS
LONGUEUR: 1295 mots
ENCART: Les bouleversements sociaux et économiques profonds promis par le déferlement de l'intelligence artificielle dans nos vies font peser sur les politiques - un peu désemparés - la responsabilité de tirer profit de la révolution en cours, tout en protégeant la population de ses dérives possibles. Pas une mince affaire...
Les robots intelligents, dotés d'une véritable autonomie de décision au point de pouvoir remplacer l'homme dans l'exercice de tâches intellectuelles, doivent-ils avoir des droits et des devoirs comme un humain, bref bénéficier d'une personnalité juridique ? Cette interrogation philosophique fait les beaux jours de la science-fiction depuis longtemps. Mais elle est tout sauf farfelue ou futuriste : dans un rapport de juin 2016, le Parlement européen s'est prononcé par l'affirmative. Soucieuse de créer un « statut » pour les robots, la Commission des affaires juridiques voudrait que l'UE qualifie de « personnes électroniques » toutes les machines capables de décider et de se déplacer en autonomie. Y compris les robots humanoïdes et les voitures sans conducteur, qui devraient débarquer dans nos villes dans moins d'une décennie. Quelle réponse législative et réglementaire ? La proposition a fait grand bruit. Et le débat se poursuit toujours. En juin dernier, le Conseil économique et social européen (Cese) s'y est opposé. L'organisme privilégie une approche Human in Command de l'intelligence artificielle. Selon lui, la création d'une personnalité juridique pourrait engendrer des risques trop importants.
« Ce serait une catastrophe, l'ouverture d'une boîte de Pandore avec des conséquences aujourd'hui impossibles à anticiper », abonde Éric Bothorel, député (LRM) des Côtes-d'Armor. Ce débat illustre bien la complexité de la réponse législative et réglementaire face à cette révolution technologique. L'intelligence artificielle (IA) est déjà là, comme en témoignent les assistants virtuels comme Alexa et Google Assistant, certains chatbots de services client et les systèmes embarqués qu'utilisent de nombreuses entreprises. Grâce à l'exploitation d'une masse inédite de données avec une grande puissance de calcul, elle va déferler dans tous les secteurs de l'économie. Les élus (gouvernement, parlementaires) sont sous pression. À la fois de la part des experts - scientifiques, entrepreneurs, penseurs - et de la population. Tous attendent de l'État qu'il place la France en bonne position dans la compétition mondiale pour l'IA, tout en protégeant les citoyens de ses impacts sur le travail et de ses dérives potentielles sur la liberté à l'heure où chaque individu devient une somme de données exploitables par des entreprises.
« La société nous envoie le signal d'une urgence politique à se saisir de ces enjeux. Il serait dramatique que la France et l'Europe ratent le coche au profit des Américains et des Chinois, qui réalisent des investissements d'une ampleur incomparable avec les nôtres », confirme Laure de La Raudière, députée (LR) d'Eure-et-Loir. Reste néanmoins le plus difficile : comment et par où commencer ? « Nous ne partons pas de zéro », rappelle de son côté Christine Hennion, députée (LRM) des Hauts-de-Seine et spécialiste du numérique. Et de citer le Règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai 2018.
« Il affirme des principes et impose des contraintes aux entreprises qui utilisent le moteur de l'intelligence artificielle, c'est-à-dire les données. C'est un bon règlement, car il protège des abus sans rien brider », estime-t-elle. Mais en matière d'éthique, de responsabilité pénale, de réglementation sectorielle (dans la santé, l'automobile, l'assurance...), tout reste à faire. Même s'ils reconnaissent l'urgence, beaucoup de députés préconisent paradoxalement de « prendre le temps », à l'image d'Éric Bothorel.
« Il faut garder en tête que les technologies vont plus vite que la loi et que nous sommes au tout début de l'IA. Même les experts n'imaginent pas de manière concrète l'étendue des nouveaux défis qui vont émerger. Travailler sur du droit plutôt que sur de la réglementation, encadrer les technologies plutôt que les usages, ce serait contre-productif car il faudrait revenir sur l'ouvrage tous les six mois », affirme-t-il. Ce qui n'empêche pas Bruno Bonnell, serial entrepreneur et député (LRM) du Rhône, d'annoncer, le 14 novembre à Paris, lors du Forum parlementaire sur l'IA, la création prochaine d'un groupe parlementaire sur l'intelligence artificielle dont les travaux pourraient nourrir une loi. Gilles Babinet, le digital champion de la France auprès de la Commission européenne, met en garde.
« La France doit lutter contre sa tentation de produire des lois à un rythme effréné. Encadrer l'IA serait aujourd'hui une erreur. Il faut laisser les choses se mettre en place et intégrer de la réglementation uniquement quand c'est nécessaire », explique-t-il. Autrement dit : aborder l'IA non pas sous l'aspect technologique, mais encadrer ses conséquences secteur par secteur pour protéger les citoyens et aider les entreprises. Parmi les « urgences économiques » qu'il identifie figure notamment la création d'un cadre, idéalement européen, pour la voiture autonome. « La Commission y travaille sérieusement, car, sans cadre, il n'y aura pas d'écosystème », ajoute Gilles Babinet. La question de savoir qui est responsable si la voiture tue quelqu'un se place au coeur des débats. Les assureurs doivent-ils eux-mêmes définir la responsabilité des machines ou cette décision doit-elle venir « d'en haut » ? Les opinions divergent.
« Les enjeux autour de la responsabilité pénale des machines intelligentes ou de la fiscalité - comment répartir la valeur produite par l'IA, la question de la taxation des robots - devront forcément être abordés par la loi », affirme Jean-Pierre Malle, scientifique et fondateur de la société de data intelligence M8. Des priorités politiques encore à définir Oui, mais quand ? Lorsqu'il est question des priorités politiques, les réponses varient. Pour la députée Christine Hennion, l'urgence est « d'accompagner les travailleurs pour qu'ils deviennent acteurs de la transformation », via une refonte du système éducatif et de la formation continue. De son côté, Laure de La Raudière insiste sur la nécessité d'investissements massifs dans la recherche en Europe, et prône une régulation dans le secteur de la santé.
« L'IA et les nouvelles technologies peuvent améliorer drastiquement le parcours de soins en passant d'une médecine curative à une médecine préventive et prédictive, source d'économies pour l'État et de bien-être pour la population. Il faut que les politiques impulsent le débat pour lever les conservatismes et définissent, avec la société et par la loi, un cadre éthique », précise-t-elle. Dans cette cacophonie, quid du gouvernement ? L'exécutif adopte une approche prudente. Il a choisi de partir d'une feuille blanche, ignorant le rapport « France IA », publié en début d'année par le précédent gouvernement, qui devait justement poser les bases d'une stratégie française. Emmanuel Macron a préféré commander au député de l'Essonne et mathématicien Cédric Villani une mission sur l'IA, qu'il rendra en début d'année prochaine. L'objectif ? Définir une « feuille de route » pour développer l'IA « au profit du plus grand nombre », explique le parlementaire. Comment ? En mobilisant des « leviers juridiques et réglementaires, secteur par secteur, en fonction des besoins », ajoute-t-il. Les propositions s'articuleront autour de six axes : mener une politique industrielle et économique ambitieuse, se doter d'une véritable politique autour des données, anticiper les impacts de l'IA sur le travail et l'emploi, créer une « IA verte » , établir un cadre éthique, et développer la recherche. Au gouvernement ensuite d'en tirer des priorités législatives et réglementaires. Vaste chantier. Mounir Mahjoubi, le secrétaire d'État au Numérique, promet des « investissements humains et financiers conséquents ». Il le faudra bien, si la France et l'Europe veulent rattraper leur retard face aux États-Unis et à l'Asie.
DATE-CHARGEMENT: 6 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
249 of 500 DOCUMENTS
La Tribune
Mercredi 6 Décembre 2017
Peur sur les données : attention maliciels
AUTEUR: Gérard Peliks
RUBRIQUE: OPINIONS; Pg. 130
LONGUEUR: 1691 mots
ENCART: Parmi les très nombreuses attaques informatiques auxquelles vos données sont soumises : les « advanced persitent threats » sont une menace des plus insidieuses. Par Gérard Peliks, Pôle Léonard de Vinci UGEI
Vous connaissez les virus informatiques, vers et autres chevaux de Troie. Il existe une autre menace : parmi les plus insidieuses des agressions possibles venant du cyberespace Les APT : advanced persistent threats ou menaces persistantes avancées. Elles mettent vos informations les plus sensibles en mesure d'être dérobées, et ce de manière furtive et pendant longtemps. Quand et si, vous vous apercevez de la réalité de l'attaque, il est trop tard car les semaines, les mois voire les années ont passé alors que vos données même les plus sensibles sont exfiltrées, chaque jour, et parviennent chez le prédateur. Que ce soit pour voler les informations qui peuvent compromettre la réputation de votre personne ou celle de votre organisation, mais aussi pour dérober vos secrets de fabrication, vos projets de fusion ou d'acquisition, ou encore vos fichiers clients et votre comptabilité, les APT peuvent frapper toute structure, qu'elle soit grande ou petite.
On ne compte plus le nombre d'organisations victimes des attaques en APT, des milliers ? Des dizaines de milliers ? Quand ce n'est pas votre organisation, il est probable que d'autres autour de vous en soient victimes mais ignorent qu'elles sont sous le coup d'une attaque en APT. Le plus souvent d'ailleurs, les organisations n'avouent pas avoir été la cible de ce genre d'attaque. Bientôt elles devront les déclarer à l'autorité compétente, en France la CNIL, car le règlement européen sur la protection des données personnelles : le RGPD, prévoit à partir du 25 mai 2018, de lourdes peines pour un établissement qui aurait laissé exfiltrer des données à caractère personnel parce que mal protégées par lui ou par un de ses sous-traitants. L'amende encourue peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ! Les APT sont persistantes car le ver étant entré dans le fruit, ou autrement dit le malicielvecteur de l'attaque étant installé dans le système d'information de la victime, le vol de ses données peut s'étaler sur une très longue période. Elles sont avancées pas tant par la sophistication de l'attaque qui est somme toute en général techniquement assez classique, mais par la phase d'ingénierie sociale qui précède l'attaque qui est souvent très avancée. les APT : une entrée rapide mais une détection très lente. itbusinessedge.com, CC BY Le maillon faible de la chaîne de sécurité est l'utilisateur non méfiant, crédule, pressé, en un mot non sensibilisé, ni préparé à ce genre d'attaque. La sensibilisation des utilisateurs, de tous les utilisateurs de l'organisation, reste le meilleur rempart contre ce genre d'agression. Des contre-mesures existent pour diminuer les risques liés à toutes les phases d'une attaque en APT. Nous allons explorer ces différentes phases et indiquer ce qu'il faut, ou ce qu'il aurait fallu faire, pour diminuer les risques, sachant que le risque zéro ne sera hélas jamais atteint. Prédateurs et psychologues Une attaque en APT débute toujours par une prise de renseignements pour obtenir une connaissance approfondie de la victime et de son système d'information. Que racontent les employés de l'organisation ciblée, et leurs amis, sur les réseaux sociaux ? Qu'écrivent-ils sur leurs conditions de travail, sur leurs projets, sur les outils et les applications qu'ils utilisent ? Si ça ne suffit pas pour reconstituer la topologie de leur réseau, pour connaître les endroits où l'information est stockée et utilisée, pour tout savoir sur les vulnérabilités qu'ils rencontrent, sur leurs responsabilités hiérarchiques... on leur téléphone. Des prédateurs, experts en psychologie ont le génie de faire parler, les employés de l'organisation ciblée, surtout en flattant l'ego, parfois en proposant de l'argent ou des voyages, en faisant miroiter une opportunité de carrière ailleurs, très intéressante. Cela peut durer des jours, des semaines, des mois et l'attaquant a constitué une image très précise du système d'information et des vulnérabilités de sa future victime. La contre-mesure est simple : il faut sensibiliser tous les employés à ce danger pour qu'ils ne révèlent rien de plus sur leur organisation que ce que le service de presse écrit dans ses communiqués. Il faut également les sensibiliser aux dangers de la messagerie, du web et en particulier des réseaux sociaux. Moins l'attaquant en saura sur sa victime, plus l'attaque en APT lui sera difficile à mener. L'attaque informatique Vient alors la phase active de l'attaque. L'introduction d'une amorce de maliciel dans le système d'information de la victime. Des employés ciblés, parmi les plus naïfs, reçoivent par exemple un courriel de leur direction avec un fichier PDF attaché. Mais le courriel ne vient pas de la direction. Il vient de l'attaquant qui a usurpé l'adresse, et le fichier PDF attaché est contaminé. L'ouverture du fichier PDF permet à l'amorce du maliciel contenu dans le fichier attaché d'entrer dans le poste de travail de l'employé inconscient. L'attaque a réussi, le ver est dans le fruit. La contre-mesure ici est de se méfier de tout courriel qui semble « bizarre ». Ne pas hésiter à téléphoner, avant de cliquer sur un PDF inattendu, au secrétariat de la direction pour savoir si ce courriel vient bien du directeur. C'est difficile à implémenter comme approche mais un petit clic peut se traduire par une grande claque, et mieux vaut se méfier des fichiers PDF ou autres, attachés à des courriels, tant la suite peut être redoutable. L'amorce du maliciel se met en rapport, par l'Internet, en traversant coupe-feu et routeurs de l'organisation sans se faire remarquer, avec le serveur du prédateur pour télécharger ce qui va constituer le maliciel complet. Il peut même télécharger par la suite de nouvelles versions et devenir encore plus virulent, encore plus furtif. Que faire ? Contrôler au niveau du coupe-feu tous les flux arrivant ou partant vers l'extérieur ? Bloquer tous ceux qui ne sont pas spécifiquement autorisés, ce qui est le but d'un coupe-feu ? Mais comment être sûr qu'une transaction est indésirable ? Le maliciel ne peut agir sur le poste de travail contaminé qu'avec les privilèges qu'il a trouvés en arrivant. L'employé ne doit pas être administrateur de son outil de travail, c'est là une précaution élémentaire. Le maliciel traque les mots de passe Le maliciel bien conçu va explorer le poste de travail à la recherche du mot de passe administrateur. Pas facile car ne sont stockées, en général, que les empreintes des mots de passe, mais si le mot de passe de l'administrateur est « admin » ou le nom de l'organisation ou encore le mot de passe par défaut du fabricant, ça ne lui pose aucun problème pour l'obtenir. Le maliciel a acquis les privilèges de l'administrateur du poste de travail. Il a acquis tous les droits et sait alors se cacher dans les profondeurs du système d'exploitation, pour agir seulement dans les moments où il est programmé pour attaquer. Le maliciel à la recherche des mots de passe. typographyimages/Pixabay, CC BY C'est au cours de cette phase que les contre-mesures peuvent se révéler être les plus efficaces. Une augmentation de privilège, sans raison valable, n'est assurément pas chose normale sur un poste utilisateur. Il existe des applications de contrôle qui surveillent les augmentations de privilèges et détectent ainsi les débuts d'attaques en APT. Citons par exemple les solutions de Balabit et le Bastion de la société française Wallix. C'est le meilleur niveau où détecter ce genre d'attaque et le meilleur moment pour l'éradiquer, alors qu'il n'a pas encore sévi. Ensuite il est trop tard. Les attaques en APT bien conçues se jouent des anti-malwares et autres outils de détection et préventions des anomalies, d'autant plus qu'elles connaissent les comportements des outils de détection d'actions anormales, et savent les contourner. Trop tard... Le malware se répand alors par l'Intranet sur les postes des autres employés qui travaillent sur le même projet ou dans le même secteur. La première phase de l'attaque, celle de l'ingénierie sociale, a permis à l'attaquant d'avoir tous les renseignements nécessaires pour savoir qui fait quoi dans l'organisation victime. Ce n'est plus alors un poste de travail qui est compromis, c'est tous les postes de travail des employés qui travaillent sur le projet ou le secteur qui intéressent le prédateur. Le maliciel exfiltre les données sensibles, souvent par messagerie, durant la nuit ou au petit matin quand personne n'est là pour détecter un fonctionnement anormal. Une analyse statistique approfondie des échanges vers l'extérieur peut, seule, déceler une telle attaque qui peut durer plusieurs mois ou plusieurs années. Les dispositifs de DLP, data loss prevention ou prévention de la fuite de données, peuvent s'apercevoir de fonctionnements anormaux, encore faut-il qu'ils les détectent et que les responsables sécurité des données numériques sachent interpréter ces fuites de données. Les applications de SIEM, security information and events management, qui détectent les attaques, les vulnérabilités et les non conformités à la politique de sécurité, couplées à des applications faisant appel au big data et à l'Intelligence Artificielle, et interprétées dans un SOC, security operating center, peuvent se révéler très utiles pour s'apercevoir à temps que l'organisation est sous une attaque en APT. Et quand l'attaquant a suffisamment sévi sur le système de sa victime, il détruit le maliciel à distance et l'organisation ne saura jamais qu'elle a été attaquée, sauf si un de ses clients, prospects ou partenaires furieux de voir les données qu'il a confiées à l'organisation victime, bien visibles dans la nature, ou exploitées par des entités non autorisées, se plaint et entame des poursuites en justice. Si on ne peut gérer soi-même la sécurité de ses informations, il reste la possibilité de confier ses données sensibles dans un cloud, à un prestataire reconnu pour sa compétence en sécurité du numérique.
_________
Par Gérard Peliks, Expert sécurité, directeur adjoint du MBA Management de la Sécurité des Données Numériques de l'Institut Léonard de Vinci, Pôle Léonard de Vinci - UGEI
DATE-CHARGEMENT: 5 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
250 of 500 DOCUMENTS
Le Figaro Online
mercredi 6 décembre 2017 06:30 PM GMT
Pub digitale: la filière crée un label de qualité
AUTEUR: Alexandre Debouté; adeboute@lefigaro.fr
RUBRIQUE: MÉDIAS; Actu-Eco; Médias & Publicité
LONGUEUR: 956 mots
ENCART: Le « Digital Ad Trust » certifiera les sites Internet les plus responsables à partir de mars 2018.
Fake news, contextes douteux, messages haineux ou propagandistes, fraude au clic... Les menaces qui pèsent de plus en plus lourdement sur les espaces publicitaires sur Internet conduisent aujourd'hui les professionnels à se mobiliser. À l'initiative des principaux syndicats du secteur - SRI, Udecam, Geste, UDA, ARPP et IAB France - un label de qualité, le «Digital Ad Trust» (DAT), a été élaboré. Il sera bientôt attribué aux sites qui s'engagent dans des «pratiques publicitaires responsables». C'est à eux d'en faire la demande. Une première liste de sites labellisés sera publiée en mars 2018. Les applications mobiles, aux profils techniques plus complexes, feront l'objet d'une démarche similaire dans un second temps.
Cela fait plusieurs mois que l'interprofession se penche sur les grands maux de la publicité en ligne, qui mettent à mal l'activité des régies des éditeurs de sites et, plus largement, jettent l'opprobre sur l'ensemble de l'écosystème publicitaire. Les problèmes auxquels le secteur est confronté sont désormais bien identifiés: poids grandissant de la fraude, qui représenterait jusqu'à 20 % des budgets publicitaires digitaux dans le monde, pratiques agressives comme le «pop-up» (fenêtre de pub qui s'ouvre intempestivement) ou l'«autoplay» (lancement automatique de vidéo avec son tonitruant), mauvais environnements pour communiquer (annonceurs douteux, vidéos contenant des images ou des propos violents et/ou haineux...) et piratage des données.
«Il fallait que l'ensemble de la filière prenne le taureau par les cornes, explique Jean-Baptiste Rouet, président de la commission digitale de l'Union des entreprises de conseil et achat médias (Udecam) et chief data officer de Publicis Media. Il y a beaucoup de scandales qui frappent des plateformes bien connues, mais très peu d'annonceurs qui coupent leurs investissements... Le label que nous créons doit prévenir l'érosion de la confiance des annonceurs et redonner de la valeur aux inventaires des éditeurs les plus vertueux.»
Tiers de confiance
Le DAT a été construit sous les regards attentifs du Centre d'étude des supports de publicité (CESP) et de l'Alliance pour les chiffres de la presse et des médias (ACPM), désignés comme accompagnateurs de la démarche après appels d'offres. «Les débats ont été intenses mais nous avons réussi, en un temps finalement assez limité, à trouver un consensus sur des critères engageants pour les éditeurs et leur régie», indique Valérie Morrisson, directrice générale du CESP.
Au final, cinq critères ont été retenus, sans hiérarchie entre eux. Tous reposent exclusivement sur des mesures indépendantes émanant de tiers certifiés par le Media Rate Council (MRC), un organisme américain qui s'assure de la qualité des outils proposés, ou, à terme, par l'European Visibility Certification Framework (EVCD), son équivalent en Europe. «C'est un point capital, souligne Jean-Baptiste Rouet. Les sites qui demandent la labellisation doivent accepter la pose d'un tag par le tiers certificateur.»
La «brand safety» doit garantir aux annonceurs un contexte sûr pour leurs publicités, c'est-à-dire expurgé de contenus violents, incitant à la haine ou portant atteinte à autrui. Les sites ne doivent pas dépasser des seuils limites, fixés volontairement à des niveaux très bas, tant en matière de «brand safety», que de fraude ou de visibilité. Pour ce dernier critère, il a fallu tenir compte du fait que les politiques commerciales des régies peuvent être très différentes selon qu'elles proposent des dispositifs de visibilité très forte ou davantage de performance, sachant qu'elles offrent souvent les deux. Une campagne d'image a ainsi plus vocation à être bien visible qu'une campagne promotionnelle, qui cherchera d'abord à être efficace en termes de taux de clic par exemple. Le but que se fixe le label est, a minima, d'améliorer le taux de visibilité moyen.
Les deux autres critères retenus sont l'expérience des utilisateurs (appelée «UX» dans le jargon marketing) et l'information en matière de données personnelles. Sur le premier point, l'objectif général est de lutter contre les mauvaises pratiques qui font fuir les internautes, en encourageant l'utilisation de formats publicitaires bien tolérés. S'agissant enfin de l'exploitation des données personnelles, les sites labellisés devront être en conformité avec le règlement européen sur leur protection (RGPD), applicable à partir du 25 mai 2018. Ce texte donne des droits aux internautes (information, droit à l'oubli...) et des devoirs aux utilisateurs de data.
Alternative aux Gafa
Le DAT est, en France, la première réponse publicitaire structurée des éditeurs en ligne à la toute puissance des géants du Web, Gafa en tête, qui trustent plus des deux tiers des investissements digitaux dans le monde (en dehors de la Chine) et captent désormais la totalité de la croissance du marché. C'est à ce jour une démarche inédite, et c'est la plus aboutie dans le monde. «Les engagements que nous prenons avec ce label vont renforcer nos offres et structurer les pratiques pour créer une alternative robuste et certifiée», se félicite Sophie Poncin, présidente du Syndicat des régies Internet (SRI) et directrice déléguée d'Orange Advertising France.
Les annonceurs, réunis en France au sein de l'Union des annonceurs (UDA), ont été évidemment pleinement associés à cette démarche. «Le Digital Ad Trust va constituer rapidement un marqueur de sécurité et de qualité pour les annonceurs», estime Jean-Luc Chetrit, directeur général de l'UDA. Le syndicat des grands annonceurs français doit parallèlement annoncer, ce jeudi, une série d'initiatives visant, de la même manière, à responsabiliser les acteurs de la filière autour des enjeux de transparence et d'efficacité.
DATE-CHARGEMENT: 6 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
251 of 500 DOCUMENTS
Les Echos.fr
mercredi 6 décembre 2017
Le RGPD, l'autre règlement européen de protection des données personnelles
AUTEUR: FLORIAN DEBES
RUBRIQUE: ARTICLE; « Droit à l'oubli », étude d'impact... de multiples contraintes
LONGUEUR: 506 mots
ENCART: Les demandes de révisions au « Privacy Shield » sont réclamées par les Cnil européennes avant le jour d'entrée en application du RGPD, le règlement européen sur la protection des données.
Contrairement à la commission européenne, le G29 a ouvert son calendrier. Ce groupe des Cnil européennes a fixé au 25 mai 2018 la date limite avant laquelle il attend que les autorités américaines règlent certains des problèmes soulevés par sa première revue annuelle de l'accord « Privacy Shield » sur le transfert des données personnelles des Européens vers les Etats-Unis.
La date n'est évidemment pas choisie au hasard. Elle correspond également à l'entrée en application du règlement européen sur la protection des données personnelles (RGPD). Ce texte accroît entre autres le pouvoir de sanction des Cnil européennes : elles pourront porter devant les tribunaux un litige avec une entreprise. Dans certains cas, l'amende infligée à un contrevenant pourrait être égale à 4 % de son chiffre d'affaires.
« Droit à l'oubli », étude d'impact... de multiples contraintes
Adopté par le Parlement européen en avril 2016 après des années de discussion à Bruxelles, le RGPD s'imposera à toutes les entreprises qui collectent, classent ou analysent des données relatives à un consommateur ou un salarié européen. Il en appelle à la responsabilité des organisations quant au respect du droit à la vie privée. Mais pour mieux s'assurer de leur bonne volonté, les nouvelles règles posent de multiples contraintes.
Avant de traiter des données à risque, les entreprises devront accompagner leur déclaration auprès de la Cnil d'une étude d'impact en matière de protection de la vie privée. Pour garantir le nouveau « droit à l'oubli », elles doivent reconfigurer leurs systèmes informatiques afin de pouvoir effacer des données sans créer de bugs. Un donneur d'ordre devra s'assurer que son sous-traitant a les moyens de respecter le règlement sous peine d'être responsable de ses fautes. Liste non-exhaustive...
Une articulation entre RGPD et « Privacy Shield »
Evidemment, tout cela a un coût. Les études de Sia Partners ou Wavestone s'accordent sur une fourchette moyenne comprise entre 30 et 50 millions d'euros pour une entreprise du CAC 40. Mais dans certains secteurs riches en données, comme la banque et l'assurance, les frais s'envolent. A moins de six mois de l'échéance, un sondage mené par la société Varonis auprès de 500 informaticiens indique que seule la moitié des entreprises a dépassé la mi-parcours sur le chemin vers la conformité.
Même quand les données sont transférées hors Union Européenne, elles sont couvertes par le RGPD. Tout comme la précédente et moins contraignante directive européenne sur le sujet, le règlement prévoit de s'appuyer sur des accords bilatéraux, comme le « Privacy Shield », afin de garantir une protection « adéquate » de ces données exportées.
Les critiques des Cnil européennes ne remettent pas en cause la légalité du dispositif. La Cnil française rappelle d'ailleurs que « les transferts de données effectuées dans le cadre du bouclier de confidentialité (Privacy Shield) restent valides. » L'an prochain, l'évaluation du dispositif mis en place avec les Etats-Unis se fera à l'aune du RGPD.
Contributor:
DATE-CHARGEMENT: 11 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Les Echos
tous droits réservés
252 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mardi 5 Décembre 2017
"Le CIL et le futur DPO ne doivent pas être vus comme le Père Fouettard"
AUTEUR: Philippe Crouzillacq
RUBRIQUE: INTERVIEW; Energie
LONGUEUR: 1262 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la CIL d'EDF évoque son action sur le traitement des données chez l'énergéticien. Un chantier prioritaire pour le groupe.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est aujourd'hui votre place dans l'organisation d'EDF ? Muriel Gourgousse est la CIL d'EDF. © EDF
Muriel Gourgousse. De formation juridique, je suis titulaire d'un DESS droit, informatique et télécoms. J'ai intégré EDF en 2010, après une première vie professionnelle consacrée à la protection des programmes, des oeuvres numériques et des données personnelles. J'ai été nommée CIL pour EDF SA le 1er mai 2016.
En tant que CIL, j'ai un réseau constitué de Relais Informatique & Libertés (RIL) dans les filiales dans lesquelles nous sommes majoritaires en France et à l'étranger, et d'Interlocuteurs Informatique & Libertés (I2L) dans les directions métiers. Je m'appuie également sur une équipe chargée d'assurer l'animation de ce réseau.
Dans le cadre du règlement européen, nous avons mis en place un projet spécifique de conformité, avec un directoire piloté par plusieurs membres du Comex. C'est un chantier prioritaire et l'ensemble des filiales et directions de notre réseau ont mis en place un tableau de bord que nous remontons au directoire.
Quels sont les principaux enjeux de votre action au sein d'EDF ?
La protection des données personnelles constitue avant tout un enjeu de société. C'est aussi un enjeu d'entreprise car on est dans un environnement très concurrentiel et par voie de conséquence nous devons proposer des services de plus en plus personnalisés à nos clients et à nos salariés. Aujourd'hui, EDF est sur une démarche de transformation numérique. Les technologies utilisées s'appuient sur une utilisation exponentielle des données personnelles.
C'est par ailleurs pour nous un sujet d'éthique, on ne peut pas se permettre à EDF de remettre en cause la confiance qui nous a été accordée par nos clients, nos salariés ou nos partenaires. C'est un élément primordial.
En pratique, la difficulté au quotidien est de savoir à quelle formalité est soumis tel traitement. Comment fait-on entendre à nos équipes projets qu'il faut minimiser la collecte de données ? Plus on réfléchit en amont, plus on est en mesure de garantir la protection des données des personnes, mais également notre sécurité en tant que responsable de traitement. Il faut resserrer les choses et aller à l'essentiel.
Quelles premières mesures avez-vous prises à votre arrivée ?
Cela a consisté à mettre en place un intranet dédié à la protection des données à caractère personnel, qui vive, qui soit pertinent, et à jour. C'est un outil que nous alimentons en veille technologique, en actualités Cnil, en lien avec le RSSI groupe. Nous avons aussi procédé à un état des lieux des différents traitements. A EDF, depuis la nomination du premier CIL il y a 11 ans, nous avons en effet établi une cartographie des traitements qui est mise à jour deux fois par an. C'est un outil qui existe et les procédures sont bien rodées. Depuis le début de l'année nous l'avons réexaminé dans une optique de conformité au RGPD. Il faut donc conjuguer la bascule que constitue cette échéance du 25 mai 2018 avec la gestion quotidienne de la protection des données personnelles.
Hier, le CIL était principalement "comptable" des traitements, il tenait le registre avec, si besoin, une assistance juridique. Demain, il participera encore plus à garantir la conformité des traitements. Nous avons donc fait évoluer les compétences des collaborateurs qui travaillent sur cette thématique, en intégrant par exemple un profil avec un passé RSSI chargé d'assurer un point de vue basé sur l'analyse de risques, la "fameuse" analyses d'impact sur la protection des données (ou PIA) visée par le RGPD, notamment sur les objets connectés et l'intelligence artificielle. Il est nécessaire d'anticiper un certain nombre de pratiques qui vont arriver très vite, car nous souhaitons les connaître au mieux pour en contrôler la conformité réglementaire le plus tôt et le plus efficacement possible. Nous travaillons aussi de concert avec la Cnil sur ces points.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action
"Je suis là pour remettre un peu d'ordre, parfois, mais aussi et surtout pour faciliter le quotidien des collaborateurs"
Grâce à un travail de proximité. Il faut sensibiliser en permanence les gens au-delà de la question des formalités. C'est une sensibilisation qui passe par plusieurs canaux, et notamment par notre réseau Informatique et Libertés, nos interlocuteurs étant chargés de l'animation autour de la thématique de la protection des données personnelles au sein de leur entité. Des fiches pratiques et des kits de communication sont mis à disposition et les membres du réseau sont réunis régulièrement pour partager les bonnes pratiques, et les difficultés éventuelles. L'arrivée du RGPD a renforcé cette animation avec la mise en place de sept chantiers qui nous amènent à nous rencontrer à un rythme encore plus important.
La sensibilisation, pour moi en tant que CIL, c'est vraiment aller sur le terrain. Je me déplace régulièrement dans le but de passer des messages ciblés aux interlocuteurs métiers, qu'il s'agisse de conseillers clientèle, de collaborateurs RH, de managers ou de chefs de projet, en leur exposant des cas qu'ils ont à connaître. C'est un maillage très, très fin. Je crois avant tout aux relations humaines et aux vertus de la proximité avec les gens. C'est un véritable enjeu car nous évoluons sur un territoire très étendu.
Quels types de relation entretenez-vous avec vos homologues spécialistes de la protection des données personnelles ?
Cela passe essentiellement par les échanges et des rencontres via des organisations comme l'AFCDP, l'ADPO, le CIGREF ou le Medef. Les échanges au sein de ces structures, ou d'autres encore, sont importants parce que, malgré notre qualité de "sachants", le partage de l'expertise est indispensable. Ces espaces nous permettent aussi de construire collectivement des doctrines partagées sur les principes de mise en ½uvre de telle ou telle technologie et de jouer pleinement notre rôle de conseil face à nos directions respectives. D'où l'intérêt des groupes pluridisciplinaires, y compris en interne. Le CIL et le futur DPO ne doivent pas être vus comme des empêcheurs de tourner en rond ou le Père Fouettard. Je suis là pour remettre un peu d'ordre, parfois, mais aussi et surtout pour faciliter le quotidien des collaborateurs concernés par la question des données à caractère personnel.
Quels sont vos principaux chantiers à venir ?
Il faut s'outiller dès maintenant pour mieux exploiter les bonnes pratiques que l'on a déjà mises en place, les partager et être certains qu'elles soient intégrées le plus en amont des projets, et dans les solutions technologiques retenues. La particularité, c'est que pour des raisons qui tiennent à la spécificité de l'entreprise, nous n'avons pas forcément une gestion centralisée, étant répartis sur l'ensemble du territoire. Il faut donc renforcer notre capacité de pilotage et nous outiller pour garantir une meilleure traçabilité afin d'améliorer l'efficience et la maîtrise de notre conformité, par exemple en matière de consentements des personnes concernées.
Aujourd'hui, la grande majorité des entreprises nourrissent de fortes ambitions numériques et je crois que les données à caractère personnel, et leur protection, doivent vraiment être au c½ur de cette ambition.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 5 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
253 of 500 DOCUMENTS
La Tribune.fr
Mardi 5 Décembre 2017 1:42 PM CET
Peur sur les données : attention maliciels
AUTEUR: Gérard Peliks
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 1702 mots
ENCART: Parmi les très nombreuses attaques informatiques auxquelles vos données sont soumises : les « advanced persitent threats » sont une menace des plus insidieuses. Par Gérard Peliks, Pôle Léonard de Vinci UGEI
Vous connaissez les virus informatiques, vers et autres chevaux de Troie. Il existe une autre menace : parmi les plus insidieuses des agressions possibles venant du cyberespace Les APT : advanced persistent threats ou menaces persistantes avancées. Elles mettent vos informations les plus sensibles en mesure d'être dérobées, et ce de manière furtive et pendant longtemps. Quand et si, vous vous apercevez de la réalité de l'attaque, il est trop tard car les semaines, les mois voire les années ont passé alors que vos données même les plus sensibles sont exfiltrées, chaque jour, et parviennent chez le prédateur. Que ce soit pour voler les informations qui peuvent compromettre la réputation de votre personne ou celle de votre organisation, mais aussi pour dérober vos secrets de fabrication, vos projets de fusion ou d'acquisition, ou encore vos fichiers clients et votre comptabilité, les APT peuvent frapper toute structure, qu'elle soit grande ou petite.
On ne compte plus le nombre d'organisations victimes des attaques en APT, des milliers ? Des dizaines de milliers ? Quand ce n'est pas votre organisation, il est probable que d'autres autour de vous en soient victimes mais ignorent qu'elles sont sous le coup d'une attaque en APT. Le plus souvent d'ailleurs, les organisations n'avouent pas avoir été la cible de ce genre d'attaque. Bientôt elles devront les déclarer à l'autorité compétente, en France la CNIL, car le règlement européen sur la protection des données personnelles : le RGPD, prévoit à partir du 25 mai 2018, de lourdes peines pour un établissement qui aurait laissé exfiltrer des données à caractère personnel parce que mal protégées par lui ou par un de ses sous-traitants. L'amende encourue peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial ! Les APT sont persistantes car le ver étant entré dans le fruit, ou autrement dit le malicielvecteur de l'attaque étant installé dans le système d'information de la victime, le vol de ses données peut s'étaler sur une très longue période. Elles sont avancées pas tant par la sophistication de l'attaque qui est somme toute en général techniquement assez classique, mais par la phase d'ingénierie sociale qui précède l'attaque qui est souvent très avancée. les APT : une entrée rapide mais une détection très lente. itbusinessedge.com, CC BY Le maillon faible de la chaîne de sécurité est l'utilisateur non méfiant, crédule, pressé, en un mot non sensibilisé, ni préparé à ce genre d'attaque. La sensibilisation des utilisateurs, de tous les utilisateurs de l'organisation, reste le meilleur rempart contre ce genre d'agression. Des contre-mesures existent pour diminuer les risques liés à toutes les phases d'une attaque en APT. Nous allons explorer ces différentes phases et indiquer ce qu'il faut, ou ce qu'il aurait fallu faire, pour diminuer les risques, sachant que le risque zéro ne sera hélas jamais atteint. Prédateurs et psychologues Une attaque en APT débute toujours par une prise de renseignements pour obtenir une connaissance approfondie de la victime et de son système d'information. Que racontent les employés de l'organisation ciblée, et leurs amis, sur les réseaux sociaux ? Qu'écrivent-ils sur leurs conditions de travail, sur leurs projets, sur les outils et les applications qu'ils utilisent ? Si ça ne suffit pas pour reconstituer la topologie de leur réseau, pour connaître les endroits où l'information est stockée et utilisée, pour tout savoir sur les vulnérabilités qu'ils rencontrent, sur leurs responsabilités hiérarchiques... on leur téléphone. Des prédateurs, experts en psychologie ont le génie de faire parler, les employés de l'organisation ciblée, surtout en flattant l'ego, parfois en proposant de l'argent ou des voyages, en faisant miroiter une opportunité de carrière ailleurs, très intéressante. Cela peut durer des jours, des semaines, des mois et l'attaquant a constitué une image très précise du système d'information et des vulnérabilités de sa future victime. La contre-mesure est simple : il faut sensibiliser tous les employés à ce danger pour qu'ils ne révèlent rien de plus sur leur organisation que ce que le service de presse écrit dans ses communiqués. Il faut également les sensibiliser aux dangers de la messagerie, du web et en particulier des réseaux sociaux. Moins l'attaquant en saura sur sa victime, plus l'attaque en APT lui sera difficile à mener. L'attaque informatique Vient alors la phase active de l'attaque. L'introduction d'une amorce de maliciel dans le système d'information de la victime. Des employés ciblés, parmi les plus naïfs, reçoivent par exemple un courriel de leur direction avec un fichier PDF attaché. Mais le courriel ne vient pas de la direction. Il vient de l'attaquant qui a usurpé l'adresse, et le fichier PDF attaché est contaminé. L'ouverture du fichier PDF permet à l'amorce du maliciel contenu dans le fichier attaché d'entrer dans le poste de travail de l'employé inconscient. L'attaque a réussi, le ver est dans le fruit. La contre-mesure ici est de se méfier de tout courriel qui semble « bizarre ». Ne pas hésiter à téléphoner, avant de cliquer sur un PDF inattendu, au secrétariat de la direction pour savoir si ce courriel vient bien du directeur. C'est difficile à implémenter comme approche mais un petit clic peut se traduire par une grande claque, et mieux vaut se méfier des fichiers PDF ou autres, attachés à des courriels, tant la suite peut être redoutable. L'amorce du maliciel se met en rapport, par l'Internet, en traversant coupe-feu et routeurs de l'organisation sans se faire remarquer, avec le serveur du prédateur pour télécharger ce qui va constituer le maliciel complet. Il peut même télécharger par la suite de nouvelles versions et devenir encore plus virulent, encore plus furtif. Que faire ? Contrôler au niveau du coupe-feu tous les flux arrivant ou partant vers l'extérieur ? Bloquer tous ceux qui ne sont pas spécifiquement autorisés, ce qui est le but d'un coupe-feu ? Mais comment être sûr qu'une transaction est indésirable ? Le maliciel ne peut agir sur le poste de travail contaminé qu'avec les privilèges qu'il a trouvés en arrivant. L'employé ne doit pas être administrateur de son outil de travail, c'est là une précaution élémentaire. Le maliciel traque les mots de passe Le maliciel bien conçu va explorer le poste de travail à la recherche du mot de passe administrateur. Pas facile car ne sont stockées, en général, que les empreintes des mots de passe, mais si le mot de passe de l'administrateur est « admin » ou le nom de l'organisation ou encore le mot de passe par défaut du fabricant, ça ne lui pose aucun problème pour l'obtenir. Le maliciel a acquis les privilèges de l'administrateur du poste de travail. Il a acquis tous les droits et sait alors se cacher dans les profondeurs du système d'exploitation, pour agir seulement dans les moments où il est programmé pour attaquer. Le maliciel à la recherche des mots de passe. typographyimages/Pixabay, CC BY C'est au cours de cette phase que les contre-mesures peuvent se révéler être les plus efficaces. Une augmentation de privilège, sans raison valable, n'est assurément pas chose normale sur un poste utilisateur. Il existe des applications de contrôle qui surveillent les augmentations de privilèges et détectent ainsi les débuts d'attaques en APT. Citons par exemple les solutions de Balabit et le Bastion de la société française Wallix. C'est le meilleur niveau où détecter ce genre d'attaque et le meilleur moment pour l'éradiquer, alors qu'il n'a pas encore sévi. Ensuite il est trop tard. Les attaques en APT bien conçues se jouent des anti-malwares et autres outils de détection et préventions des anomalies, d'autant plus qu'elles connaissent les comportements des outils de détection d'actions anormales, et savent les contourner. Trop tard... Le malware se répand alors par l'Intranet sur les postes des autres employés qui travaillent sur le même projet ou dans le même secteur. La première phase de l'attaque, celle de l'ingénierie sociale, a permis à l'attaquant d'avoir tous les renseignements nécessaires pour savoir qui fait quoi dans l'organisation victime. Ce n'est plus alors un poste de travail qui est compromis, c'est tous les postes de travail des employés qui travaillent sur le projet ou le secteur qui intéressent le prédateur. Le maliciel exfiltre les données sensibles, souvent par messagerie, durant la nuit ou au petit matin quand personne n'est là pour détecter un fonctionnement anormal. Une analyse statistique approfondie des échanges vers l'extérieur peut, seule, déceler une telle attaque qui peut durer plusieurs mois ou plusieurs années. Les dispositifs de DLP, data loss prevention ou prévention de la fuite de données, peuvent s'apercevoir de fonctionnements anormaux, encore faut-il qu'ils les détectent et que les responsables sécurité des données numériques sachent interpréter ces fuites de données. Les applications de SIEM, security information and events management, qui détectent les attaques, les vulnérabilités et les non conformités à la politique de sécurité, couplées à des applications faisant appel au big data et à l'Intelligence Artificielle, et interprétées dans un SOC, security operating center, peuvent se révéler très utiles pour s'apercevoir à temps que l'organisation est sous une attaque en APT. Et quand l'attaquant a suffisamment sévi sur le système de sa victime, il détruit le maliciel à distance et l'organisation ne saura jamais qu'elle a été attaquée, sauf si un de ses clients, prospects ou partenaires furieux de voir les données qu'il a confiées à l'organisation victime, bien visibles dans la nature, ou exploitées par des entités non autorisées, se plaint et entame des poursuites en justice. Si on ne peut gérer soi-même la sécurité de ses informations, il reste la possibilité de confier ses données sensibles dans un cloud, à un prestataire reconnu pour sa compétence en sécurité du numérique.
_________
Par Gérard Peliks, Expert sécurité, directeur adjoint du MBA Management de la Sécurité des Données Numériques de l'Institut Léonard de Vinci, Pôle Léonard de Vinci - UGEI
La version originale de cet article a été publiée sur The Conversation
DATE-CHARGEMENT: 5 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
254 of 500 DOCUMENTS
La Tribune
Mardi 5 Décembre 2017
Intelligence artificielle : réguler sans brider !
AUTEUR: Eliane Kan
RUBRIQUE: FOCUS; Pg. 6
LONGUEUR: 1285 mots
ENCART: Les bouleversements sociaux et économiques profonds promis par le déferlement de l'intelligence artificielle dans nos vies font peser sur les politiques - un peu désemparés - la responsabilité de tirer profit de la révolution en cours, tout en protégeant la population de ses dérives possibles. Pas une mince affaire...
Les robots intelligents, dotés d'une véritable autonomie de décision au point de pouvoir remplacer l'homme dans l'exercice de tâches intellectuelles, doivent-ils avoir des droits et des devoirs comme un humain, bref bénéficier d'une personnalité juridique ? Cette interrogation philosophique fait les beaux jours de la science-fiction depuis longtemps. Mais elle est tout sauf farfelue ou futuriste : dans un rapport de juin 2016, le Parlement européen s'est prononcé par l'affirmative. Soucieuse de créer un « statut » pour les robots, la Commission des affaires juridiques voudrait que l'UE qualifie de « personnes électroniques » toutes les machines capables de décider et de se déplacer en autonomie. Y compris les robots humanoïdes et les voitures sans conducteur, qui devraient débarquer dans nos villes dans moins d'une décennie. Quelle réponse législative et réglementaire ? La proposition a fait grand bruit. Et le débat se poursuit toujours. En juin dernier, le Conseil économique et social européen (Cese) s'y est opposé. L'organisme privilégie une approche Human in Command de l'intelligence artificielle. Selon lui, la création d'une personnalité juridique pourrait engendrer des risques trop importants.
« Ce serait une catastrophe, l'ouverture d'une boîte de Pandore avec des conséquences aujourd'hui impossibles à anticiper », abonde Éric Bothorel, député (LRM) des Côtes-d'Armor. Ce débat illustre bien la complexité de la réponse législative et réglementaire face à cette révolution technologique. L'intelligence artificielle (IA) est déjà là - les assistants virtuels comme Alexa et Google Assistant, certains chatbots de services client et systèmes embarqués - et va déferler dans tous les secteurs de l'économie grâce à l'exploitation d'une masse inédite de données avec une grande puissance de calcul. Les élus (gouvernement, parlementaires) sont sous pression. À la fois de la part des experts - scientifiques, entrepreneurs, penseurs - et de la population. Tous attendent de l'État qu'il place la France en bonne position dans la compétition mondiale pour l'IA, tout en protégeant les citoyens de ses impacts sur le travail et de ses dérives potentielles sur la liberté à l'heure où chaque individu devient une somme de données exploitables par des entreprises.
« La société nous envoie le signal d'une urgence politique à se saisir de ces enjeux. Il serait dramatique que la France et l'Europe ratent le coche au profit des Américains et des Chinois, qui réalisent des investissements d'une ampleur incomparable avec les nôtres », confirme Laure de La Raudière, députée (LR) d'Eure-et-Loir. Reste néanmoins le plus difficile : comment et par où commencer ? « Nous ne partons pas de zéro », rappelle de son côté Christine Hennion, députée (LRM) des Hauts-de-Seine et spécialiste du numérique. Et de citer le Règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai 2018.
« Il affirme des principes et impose des contraintes aux entreprises qui utilisent le moteur de l'intelligence artificielle, c'est-à-dire les données. C'est un bon règlement, car il protège des abus sans rien brider », estime-t-elle. Mais en matière d'éthique, de responsabilité pénale, de réglementation sectorielle (dans la santé, l'automobile, l'assurance...), tout reste à faire. Même s'ils reconnaissent l'urgence, beaucoup de députés préconisent paradoxalement de « prendre le temps », à l'image d'Éric Bothorel.
« Il faut garder en tête que les technologies vont plus vite que la loi et que nous sommes au tout début de l'IA. Même les experts n'imaginent pas de manière concrète l'étendue des nouveaux défis qui vont émerger. Travailler sur du droit plutôt que sur de la réglementation, encadrer les technologies plutôt que les usages, ce serait contre-productif car il faudrait revenir sur l'ouvrage tous les six mois », affirme-t-il. Ce qui n'empêche pas Bruno Bonnell, serial entrepreneur et député (LRM) du Rhône, d'annoncer, le 14 novembre à Paris, lors du Forum parlementaire sur l'IA, la création prochaine d'un groupe parlementaire sur l'intelligence artificielle dont les travaux pourraient nourrir une loi. Gilles Babinet, le digital champion de la France auprès de la Commission européenne, met en garde.
« La France doit lutter contre sa tentation de produire des lois à un rythme effréné. Encadrer l'IA serait aujourd'hui une erreur. Il faut laisser les choses se mettre en place et intégrer de la réglementation uniquement quand c'est nécessaire », explique-t-il. Autrement dit : aborder l'IA non pas sous l'aspect technologique, mais encadrer ses conséquences secteur par secteur pour protéger les citoyens et aider les entreprises. Parmi les « urgences économiques » qu'il identifie figure notamment la création d'un cadre, idéalement européen, pour la voiture autonome. « La Commission y travaille sérieusement, car, sans cadre, il n'y aura pas d'écosystème », ajoute Gilles Babinet. La question de savoir qui est responsable si la voiture tue quelqu'un se place au coeur des débats. Les assureurs doivent-ils eux-mêmes définir la responsabilité des machines ou cette décision doit-elle venir « d'en haut » ? Les opinions divergent.
« Les enjeux autour de la responsabilité pénale des machines intelligentes ou de la fiscalité - comment répartir la valeur produite par l'IA, la question de la taxation des robots - devront forcément être abordés par la loi », affirme Jean-Pierre Malle, scientifique et fondateur de la société de data intelligence M8. Des priorités politiques encore à définir Oui, mais quand ? Lorsqu'il est question des priorités politiques, les réponses varient. Pour la députée Christine Hennion, l'urgence est « d'accompagner les travailleurs pour qu'ils deviennent acteurs de la transformation », via une refonte du système éducatif et de la formation continue. De son côté, Laure de La Raudière insiste sur la nécessité d'investissements massifs dans la recherche en Europe, et prône une régulation dans le secteur de la santé.
« L'IA et les nouvelles technologies peuvent améliorer drastiquement le parcours de soins en passant d'une médecine curative à une médecine préventive et prédictive, source d'économies pour l'État et de bien-être pour la population. Il faut que les politiques impulsent le débat pour lever les conservatismes et définissent, avec la société et par la loi, un cadre éthique », précise-t-elle. Dans cette cacophonie, quid du gouvernement ? L'exécutif adopte une approche prudente. Il a choisi de partir d'une feuille blanche, ignorant le rapport « France IA », publié en début d'année par le précédent gouvernement, qui devait justement poser les bases d'une stratégie française. Emmanuel Macron a préféré commander au député de l'Essonne et mathématicien Cédric Villani une mission sur l'IA, qu'il rendra en début d'année prochaine. L'objectif ? Définir une « feuille de route » pour développer l'IA « au profit du plus grand nombre », explique le parlementaire. Comment ? En mobilisant des « leviers juridiques et réglementaires, secteur par secteur, en fonction des besoins », ajoute-t-il. Les propositions s'articuleront autour de six axes : mener une politique industrielle et économique ambitieuse, se doter d'une véritable politique autour des données, anticiper les impacts de l'IA sur le travail et l'emploi, créer une « IA verte » , établir un cadre éthique, et développer la recherche. Au gouvernement ensuite d'en tirer des priorités législatives et réglementaires. Vaste chantier. Mounir Mahjoubi, le secrétaire d'État au Numérique, promet des « investissements humains et financiers conséquents ». Il le faudra bien, si la France et l'Europe veulent rattraper leur retard face aux États-Unis et à l'Asie.
DATE-CHARGEMENT: 4 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
255 of 500 DOCUMENTS
Les Echos Executives
mardi 5 décembre 2017
Le président de l'ECIIA : « Les auditeurs internes doivent prendre la parole sur la gouvernance »
RUBRIQUE: ARTICLE; Quels sont les enjeux actuels de la Confédération européenne des instituts d'audit interne ?
LONGUEUR: 762 mots
ENCART: Elu Président de l'European Confederation of Institutes of Internal Auditing (ECIIA) en septembre dernier, Farid Aractingi nous explique les enjeux actuels des auditeurs internes européens.
Quels sont les enjeux actuels de la Confédération européenne des instituts d'audit interne ?
Les auditeurs internes sont un des acteurs importants - mais pas le seul - de la gouvernance au profit de la performance durable. La gouvernance n'est pas un principe abstrait, destiné à cocher des cases dans un carcan réglementaire. Cela signifie, au quotidien, la recherche de l'équilibre. Equilibre entre les différents acteurs de l'entreprise : le président, le directeur général, et plus généralement entre conseil et DG. Equilibre entre conformité réglementaire et recherche de l'efficacité. Equilibre assuré par le triplet inséparable du dispositif de maîtrise au service de cette gouvernance, formé par l'audit interne, la gestion des risques et le contrôle interne. Nous sommes là pour servir les dirigeants, mais aussi pour les alerter avec notamment la garantie de notre indépendance.
A l'échelle européenne, cela signifie que notre profession doit prendre la parole sur les sujets de gouvernance : participer aux consultations sur les directives, intervenir dans les colloques, mais aussi publier des documents, seuls ou avec d'autres professions, comme celle des directeurs des risques, représentée par notre fédération-soeur, le Ferma. Forts de notre vision très transversale de l'entreprise, nous pouvons apporter notre perspective et nos recommandations aux réflexions européennes sur des thèmes comme la gestion des données personnelles (RGPD), la cybersécurité, la réforme de l'audit, ou encore le reporting non financier et intégré.
L'audit interne a-t-il évolué ces dernières années ?
Les auditeurs internes sont aujourd'hui engagés dans la transformation de leurs parties prenantes. Le métier s'appuie toujours sur ses cinq compétences distinctives majeures que sont l'indépendance, la transversalité, la discipline d'exécution, le courage audible, et enfin, notre rôle de gardien du temple du contrôle interne. Mais aujourd'hui, au-delà de ces compétences dures, nous devons aussi engager une revue de nos compétences molles. Les auditeurs doivent développer leur capacité à conjuguer les contradictions. En effet, il nous faut être capables à la fois d'analyse et de synthèse, mettre en place des processus de contrôle et innover ; comprendre intimement les enjeux des métiers de l'entreprise mais garder une certaine naïveté dans notre regard, maîtriser la communication écrite et orale, tout en limitant les excès pour observer une posture de réserve prudente. Enfin, nous marchons sur la crête entre transparence et confidentialité.
C'est tout cela qui fait de cette nouvelle race d'auditeurs des « business partners », robustes et bien outillés, soutenus par une vision panoramique et une méthodologie éprouvée. Nous sommes ainsi à même de poser un diagnostic calme, fiable et précis des problématiques de l'entreprise et aussi de conseiller ses dirigeants. Pour « gagner notre place à la table », c'est-à-dire être audibles au conseil et au niveau de la DG, il nous faut aller vers toujours davantage de professionnalisme et de rigueur, être de bons communicants, flexibles et réactifs, dotés, grâce à notre vision globale, d'un souci actif du « bien commun » de nos organisations.
La profession est-elle toujours aussi attractive ?
Cela dépend vraiment des pays. Il y a davantage d'enthousiasme aujourd'hui à Athènes ou Istambul qu'à Paris. Notre attractivité est un peu écornée en Europe occidentale et les services d'audit interne peuvent avoir du mal à recruter actuellement alors que, pourtant, beaucoup de jeunes cherchent des postes. Il est vrai que la fonction demande discipline, rigueur et respect des méthodologies, qu'elle est soumise à des horaires et des échéances et commande un bon équilibre entre travail d'équipe et contribution individuelle. Peut-être n'est-ce pas compatible avec les attentes actuelles des nouvelles générations ?
Pourtant, l'audit est intellectuellement très satisfaisant : c'est un lieu d'apprentissage varié et rapide, puisqu'on change de sujet toutes les cinq à six semaines. En un mot, la fonction est un bon ascenseur social, un temps de discernement et un extraordinaire point d'entrée dans une industrie : après un passage de quatre ans dans l'audit interne, on est « tout terrain », et on sait aussi mieux vers où on souhaite aller.
(1) - Fondée en 1982, l'ECIIA (Confédération européenne des Instituts d'audit interne), rassemble les associations des professionnels de l'audit interne de 35 pays d'Europe et du bassin méditerranéen dont, pour la France, l'IFACI. Elle réunit près de 50.000 professionnels du secteur.
DATE-CHARGEMENT: 6 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
256 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 4 Décembre 2017
"Nous avons créé un outil pour industrialiser la protection des données"
AUTEUR: Philippe Crouzillacq
RUBRIQUE: INTERVIEW; Entreprises
LONGUEUR: 1291 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, le DPO du groupe de services en technologies de l'information évoque son action sur les données des 71 000 salariés de la société et de ses clients.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Arnaud David est le DPO de CGI. © CGI
Arnaud David. J'ai une formation juridique. J'ai commencé ma carrière en 2007 en tant qu'avocat spécialisé dans les TIC, successivement pour les cabinets August Debouzy et Baker McKenzie où je traitais des dossiers principalement axés sur la protection des données personnelles. Cette matière n'intéressait à l'époque que quelques grands groupes. J'ai ensuite quitté la profession d'avocat pour rejoindre la direction juridique de Microsoft France. J'ai alors travaillé non seulement sur des projets de transformation digitale de sociétés françaises et étrangères au moyen du cloud computing mais aussi sur les questions liées à la cybersécurité entourant ce nouveau phénomène. En 2016, j'ai rejoint CGI pour occuper le poste de chief data protection officer pour l'ensemble du groupe, c'est-à-dire pour une société regroupant 71 000 collaborateurs répartis dans 40 pays.
Quelle est votre place dans l'organisation de CGI, de quelle direction dépendez-vous ?
D'un point de vue organisationnel, je dépends du chief legal officer qui est par ailleurs membre du comité exécutif de CGI et secrétaire général de l'entreprise. En d'autres termes, j'ai un reporting direct auprès du comité exécutif, ce qui à mon sens est la position la plus opportune pour ce type de mission. La protection des données personnelles est un sujet juridique et éthique ayant de fortes incidences opérationnelles concernant toutes les fonctions d'une entreprise. Il est donc essentiel pour que cette mission prospère que les organes de direction soient des parties prenantes.
Quels sont les principaux enjeux de votre action au sein de CGI ?
Certains groupes internationaux très centralisés ont fait le choix de désigner un DPO unique pour l'ensemble des pays européens. Notre orientation a été différente, compte tenu de notre modèle d'affaires basé sur la proximité avec les clients. Nous avons opté pour une gouvernance étendue. J'ai ainsi la charge de la protection des données personnelles pour l'ensemble du groupe, mais je ne suis pas tout seul, j'ai autour de moi une équipe d'experts s'appuyant eux-mêmes sur un réseau de relais de proximité dans les unités d'affaires, au plus près des opérationnels. Pour la France par exemple, nous avons nommé une CIL en charge notamment d'organiser et d'animer ce réseau.
La singularité de CGI c'est que nous traitons les données personnelles de nos 71 000 professionnels mais aussi celles de nos clients dans le cadre de nos activités de conseil, d'intégration de systèmes et d'outsourcing . Lorsque nous aidons nos clients à se transformer, nous pouvons en effet, en tant que prestataire IT, être amenés à traiter énormément de données personnelles pour leur compte. Cela fait de la protection des données un vrai challenge, puisque l'idée est vraiment de concilier ce que l'on fait en interne et en externe. Avec la mise en place du RGPD, nos clients vont devoir se conformer à de nouvelles exigences. Je pense que ces exigences sont à double sens. Elles peuvent provenir des clients qui se sont d'ores et déjà engagés dans des projets de conformité. Mais ces exigences peuvent aussi venir de nous en tant que prestataire, car nous pouvons être en avance sur leur projet de conformité et l'on peut être amené à les conseiller sur ce que nous considérons comme étant un niveau de protection des données adéquat et qu'il conviendrait d'appliquer a minima dans le cadre des services que nous fournissons. Le RGPD requiert une conduite responsable dans le traitement des données personnelles.
Quelles premières mesures avez-vous prises à votre arrivée ?
L'un des premiers chantiers que j'ai mis en ½uvre est la création d'une gouvernance dédiée à la protection des données personnelles. Car traditionnellement il y a énormément d'entreprises où l'activité de protection des données était faite à mi-temps ou reléguée au second plan. Nous souhaitions par conséquent mieux structurer l'organisation avec notamment des personnes qui travaillent à plein temps sur ce sujet. J'ai une équipe rapprochée de 10 personnes qui travaillent pour chacune des zones géographiques au sein desquelles nous opérons. J'ai également des relais dans chacune des "unités d'affaires" au niveau local. Cela fait un total d'une cinquantaine de personnes dans le monde qui travaillent pour mon organisation.
Nous avons par ailleurs initié la révision des politiques de protection des données personnelles en souhaitant que les exigences européennes soient étendues à l'ensemble de l'entreprise. Qui peut le plus, peut le moins ! Et dans la perspective d'industrialiser la protection des données, nous avons créé un outil non seulement d'inventaire, comme c'est requis par le RGPD, mais également d'analyse et d'évaluation des traitements. Donc, chaque personne ayant un projet en interne ou avec un client peut le rentrer dans l'outil, interagir avec mon équipe via cet outil afin de déterminer si oui ou non son projet atteint les niveaux requis de protection des données. Cet outil est appelé à évoluer en y intégrant de plus en plus d'automaticité voire pourquoi pas, de l'intelligence artificielle.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Le RGPD n'est pas un système déclaratif et de conformité à un instant T mais bien un système d'amélioration continue"
Nous avons un programme de conduite du changement pour accompagner nos professionnels et leur expliquer ce que cela va changer pour eux au jour le jour. Ce programme est composé d'actions de communication (par exemple pour expliquer ce qu'est une donnée personnelle, un traitement de donnée) qui vulgarisent le sujet pour en assurer une bonne compréhension et assimilation. Ces actions sont diffusées sur notre intranet et via des relais que nous avons au sein des équipes opérationnelles. Nous avons également développé un e-learning accessible à tous qui décrit les grands concepts de la protection des données et inclut des questionnaires d'évaluation. De manière connexe, des formations plus spécifiques ont également été développées pour traiter les problématiques particulières des métiers qui sont amenés à traiter beaucoup de données personnelles (RH, finance, gestion de projets).
Quels sont vos principaux chantiers à venir ?
La protection des données c'est avant tout une question de culture d'entreprise, il faut toujours être en capacité d'augmenter le niveau de maturité de l'organisation. L'un des premiers chantiers est encore et toujours l'information et la communication. Par ailleurs, le RGPD n'est pas un système déclaratif et de conformité à un instant T mais bien un système d'amélioration continue. Il faut prendre en compte tous les retours que nous avons sur nos processus en interne, pour les modifier, les réformer et les améliorer. Le second pilier pour cette fin 2017, début 2018, c'est de continuer à améliorer l'intégration de la protection des données dans les projets réalisés pour nos clients, d'échanger et coopérer avec eux, de les accompagner dans leurs propres projets de conformité. Contrairement à une idée reçue, le RGPD n'opère pas un transfert de responsabilité client-prestataire en matière de conformité. Au contraire, il s'agit d'un nouveau paradigme basé sur la recherche d'un équilibre entre le responsable de traitement et le sous-traitant. Il s'agit plus que jamais d'une collaboration, d'une co-construction pour protéger au mieux la donnée et en assurer une utilisation responsable.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 4 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
257 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 1 Décembre 2017
"Le e-learning sur les données personnelles est obligatoire pour l'ensemble des salariés du groupe"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 934 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la group privacy officer d'Adecco Group détaille ses chantiers chez le géant mondial des solutions RH.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation d'Adecco Group et de quelle direction dépendez-vous ? Anny Pinto est group privacy officer de Adecco Group © Adecco Group
Anny Pinto. Je suis une avocate espagnole rentrée chez Adecco Group en 2005. Basée à Madrid j'intervenais sur toutes les questions touchant à la loi informatique pour deux entités technologiques de groupe. J'ai ensuite été rattachée au siège d'Adecco Group à Zürich et mon périmètre d'intervention s'est élargi au domaine de la protection des données personnelles. Puis j'ai été nommée début 2016 group privacy officer d'Adecco Group et rattachée directement au directeur juridique mondial.
Quels sont les principaux enjeux de votre action au sein d'Adecco Group ?
Je dirige un programme de protection des données personnelles, qui a pour but, non seulement de se mettre en conformité avec le cadre légal, mais aussi de faire évoluer les processus et les comportements. Il s'agit aussi d'optimiser l'utilisation des données personnelles en général dans le cadre d'une organisation décentralisée.
Pour remplir cette mission, je dispose d'une équipe de collaborateurs basée à Zurich qui apporte support et expertise à la direction générale et qui coordonne le déploiement du programme au sein des différents pays. Je suis ainsi en relation directe avec 26 experts en IT ou protection des données personnelles représentant la majorité des pays du groupe. Nous avons créé ce que je pourrais appeler notre "IT & Privacy Experts Network" disposant d'outils de communication et de plateformes d'échanges. Nous nous rencontrons au moins tous les trois mois pour faire le point sur l'implémentation du programme et partager idées et bonnes pratiques. Une étroite collaboration entre les membres de l'équipe est vraiment une des clefs de la réussite de ce programme.
L'une des composantes majeures de ce programme est bien entendu l'accompagnement des pays dans la prise en compte des nouvelles exigences du Règlement général sur la protection des données (RGPD). Pour ce faire, mon équipe et moi travaillons étroitement avec les juristes locaux. Le sujet du RGPD est bien évidemment celui qui monopolise la majeure partie de notre énergie et de nos efforts. Cela avance bien même si le rythme devrait encore s'accélérer à partir de janvier 2018.
Quelles premières mesures avez-vous prises à votre arrivée ?
La première chose a été de renforcer le niveau de collaboration entre mon équipe à Zurich et les experts ou juristes locaux en créant et animant notre fameux "Network". Nous avons ensuite rapidement travaillé à harmoniser nos pratiques vis-à-vis de nos fournisseurs. En parallèle nous avons défini le détail du programme. Pas seulement au regard du RGPD mais au sujet de l'ensemble des données d'Adecco Group. Ensuite, d'importantes actions ont été menées auprès des collaborateurs afin de les sensibiliser sur l'intérêt de ce dispositif dans un esprit "business topic". J'ai toujours dit que le sujet de la protection des données personnelles n'était pas qu'une question de conformité légale ou de compliance mais un véritable sujet métier qui impacte la totalité de l'organisation. Il y a eu parfois des incompréhensions - et c'est normal, mais notre réseau et moi-même avons travaillé pour expliquer le sujet aux collaborateurs d'Adecco Group. Aujourd'hui, tout le monde comprend la complexité et l'intérêt du programme que ce soit au niveau des systèmes d'information, du numérique, de la conformité, etc.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
J'ai beaucoup de chance car ce programme est vivement soutenu par le CEO du groupe et son conseil d'administration. Par ailleurs, nous mettons en place des "tailored training", c'est-à-dire des sessions de formation spécialisées. Le e-learning est obligatoire pour l'ensemble des salariés du groupe. Ensuite, c'est aux directions juridiques des différents pays de s'organiser. Nous fonctionnons beaucoup en réseau parce que nos juristes locaux sont des experts qui travaillent en étroite collaboration avec le business.
Quel usage spécifique faites-vous des données personnelles dont dispose Adecco Group ?
Adecco Group est le leader mondial des solutions RH et propose de nombreux services à destination de ses candidats et de ses clients à travers ses diverses entités : travail temporaire, conseil en recrutement et organisation, intérim spécialisé, recrutement de cadres, formation, gestion du capital humain, externalisation de services... Pour pouvoir proposer les solutions les plus efficaces et pertinentes à nos candidats et à nos clients, nous collectons et analysons des données personnelles.
Quels sont vos principaux chantiers à venir ?
Les actions majeures ont été identifiées afin d'être prêtes en mai. Par exemple, je peux vous citer le renforcement de nos clauses contractuelles ou le data inventory et le data mapping réalisé sur l'ensemble de nos plateformes techniques. Nous déployons tous nos efforts pour atteindre le but que nous nous sommes fixés. Mais ce programme ne s'arrêtera pas là et va continuer parce que notre but est aussi de nous transformer et d'innover tout en continuant à traiter et utiliser des données personnelles dans le but de prendre soin et de respecter la vie privée de nos clients, candidats, intérimaires et collaborateurs.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 1 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
258 of 500 DOCUMENTS
La Tribune
Vendredi 1 Décembre 2017
Intelligence artificielle : quelles pistes pour placer la France dans la compétition mondiale ?
AUTEUR: Sylvain Rolland
RUBRIQUE: NUMÉRIQUE; Pg. 49
LONGUEUR: 1384 mots
ENCART: Le député de l'Essonne et mathématicien Cédric Villani a présenté, avec le secrétaire d'Etat au Numérique Mounir Mahjoubi, le bilan à mi-parcours de sa mission sur l'intelligence artificielle. Avec six axes clés de travail, et l'ouverture, la semaine prochaine, d'une plateforme collaborative en ligne. Décryptage.
Quelle stratégie pour la France sur l'intelligence artificielle, qui impactera à terme tous les secteurs de l'économie et va profondément changer notre société ? Face à la pression de la concurrence internationale - les Etats-Unis et la Chine investissent à coups de dizaines de milliards et sont très en avance -, la France et l'Europe doivent agir très vite pour, sinon rivaliser, au moins tirer leur épingle du jeu. C'est pourquoi Emmanuel Macron a confié à Cédric Villani, mathématicien émérite et député (LREM) de l'Essonne, une mission sur l'IA, dont les conclusions seront dévoilées à la fin du mois du janvier. Aidé par Marc Schoenauer, directeur de recherche à l'Inria et pointure mondiale de l'IA, Cédric Villani a rencontré ces derniers mois 250 experts (chercheurs, entrepreneurs, élus, entreprises...), venus de 13 pays. L'objectif ?
"Définir une stratégie pour la France." Ses conclusions devraient alimenter plusieurs textes législatifs et réglementaires et mobiliser tous les services de l'Etat dès 2018, afin de permettre le développement de l'IA d'un point de vue économique, à l'intérieur d'un cadre éthique et respectueux des données personnelles. Voici les six axes de travail du rapport, présentés mercredi 29 novembre avec le secrétaire d'Etat au Numérique, Mounir Mahjoubi, lors d'un point de mi-parcours. Juste avant le lancement, la semaine prochaine, d'une plateforme collaborative en ligne pour recueillir les propositions et initiatives citoyennes. Mettre la puissance publique en ordre de bataille "La compétition internationale est très intense et le chemin pour faire émerger des champions nationaux et européens de l'IA est étroit", admet Cédric Villani. D'où la nécessité de mettre en place à la fois une politique transversale (soutenir financièrement l'innovation dans l'IA, adapter les cadres juridiques, réglementaires et organisationnels pour lever les freins) et sectorielle (traiter les impacts de l'IA secteur par secteur). En outre, puisque l'IA s'insère dans tous les secteurs, la mission préconise de "se concentrer sur quelques secteurs clés qui constituent des niches économiques d'excellence pour répondre à des grands défis collectifs" : la santé, le transport, l'environnement et la défense. Pour chacun d'entre eux, l'Etat devra se positionner en "tiers de confiance", en trouvant les bonnes certifications et labels, et favoriser l'émergence d'écosystèmes forts, tout en permettant aux entreprises d'expérimenter. Une véritable politique de la donnée Pilier du développement de l'intelligence artificielle, les données qui nourrissent les algorithmes d'intelligence artificielle capables de prendre des décisions qui relevaient jusqu'à présent de l'intelligence humaine, devront faire l'objet d'une "véritable politique de l'Etat", estime le rapport, pour favoriser "l'ouverture, la mutualisation et le partage de données publiques et privées, tout en protégeant les individus". L'objectif : que les startups, entreprises et chercheurs aient accès à des jeux de données structurés, fiables et débarrassés des biais humains que l'intelligence artificielle pourrait reproduire. Ainsi, Cédric Villani propose de repenser la protection des données non pas autour de la collecte, qui est à la fois inévitable et indispensable, mais autour des usages. "Il faut intégrer des règles éthiques dans le développement des produits et services d'IA, secteur par secteur", juge Cédric Villani. Les défis sont autant techniques (quel format adopter, comment stocker les masses de données en garantissant leur sécurité) que légaux (définir les données qui peuvent être utilisées). Dans ce contexte, Cédric Villani aborde le Règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai 2018, comme un gros point d'interrogation.
"L'approche européenne, très protectrice, nous donne l'opportunité de nous démarquer. Mais certaines entreprises pourraient se paralyser à cause de ces nouvelles contraintes, si on ne leur donne pas les moyens d'en tirer profit." Anticiper et maîtriser les impacts de l'IA sur le travail et l'emploi Les prédictions en matière d'impact de l'intelligence artificielle sur le travail sont diamétralement opposées : certains estiment que des millions d'emplois seront supprimés par l'automatisation des tâches, conduisant à un chômage de masse. D'autres prédisent la création de centaines de nouveaux métiers et misent plutôt sur un remplacement de l'emploi. D'où la nécessité de transformer les compétences et de repenser l'éducation et la formation. "C'est probablement le sujet le plus frustrant, car très peu ont les idées claires sur comment faire", admet Cédric Villani. Le député estime que l'Etat doit d'abord anticiper les impacts sur l'emploi, via par exemple une structure dédiée. Puis axer l'éducation sur l'acquisition de compétences numériques, de compétences cognitives générales (capacités de résolution de problème et de compréhension du langage), de capacités d'adaptation et de créativité, sans oublier les compétences autour de la "dextérité manuelle".
"Penser que la machine va remplacer l'homme est une vision simpliste. L'IA autonome de toute intervention humaine n'est ni pour demain, ni pour après-demain. Mais la complémentarité homme/machine est source de développement économique", estime-t-il. Maîtriser l'impact environnemental de l'IA En 2015, l'association américaine du semi-conducteur prévoyait que les besoins en calcul excéderaient la production énergétique mondiale d'ici à 2040. Autrement dit : l'IA, nourrie aux données produites et hébergées par des centres de données, est un gouffre énergétique, pas du tout écolo. "La vision de la France doit donc consister à développer simultanément une IA plus verte et une IA au service de la transition écologique", préconise Cédric Villani. L'Etat pourrait mettre en place des incitations au verdissement des data centers ou encore préparer l'après-silicium. Un lieu de recherche en France dédié à la soutenabilité du numérique et de l'algorithmie est aussi envisagé. Un cadre éthique à définir
"L'éthique, la confiance et la responsabilité sont cruciaux pour le développement de l'IA, car sinon ces technologies ne seront pas acceptées par les citoyens", affirme Cédric Villani. La piste de labels sectoriels (les entreprises devraient se soumettre à des règles dans chaque secteur - la santé par exemple - pour être certifiées) sera explorée dans le rapport final. Le gouvernement devrait aussi réfléchir sur "l'explicabilité" des technologies, c'est-à-dire faire en sorte que les citoyens ne vivent pas les décisions des algorithmes d'intelligence artificielle comme arbitraires (comme pour le logiciel APB), mais qu'ils comprennent pourquoi et comment la décision a été prise. "Un effort de pédagogie autour de l'IA est indispensable", confirme Mounir Mahjoubi. Développer absolument la recherche et éviter la fuite des talents Le dernier enjeu primordial identifié par la mission Villani concerne la recherche, tant au niveau public que du côté des entreprises. "Nous manquons de mathématiciens et d'ingénieurs spécialisés en mathématiques. Nos talents sont aussi trop souvent aspirés par des entreprises ou laboratoires publics étrangers", déplore Cédric Villani, qui regrette les "lourdeurs administratives" qui pèsent sur la recherche française. Les mesures qui seront proposées devront donc "offrir un environnement de travail digne d'eux aux chercheurs en IA pour les faire revenir et attirer les chercheurs étrangers" et "offrir aux entrepreneurs un écosystème plus favorable à la création d'entreprises", notamment en favorisant les passerelles entre le public et le privé. Et ensuite ? Le gouvernement va lancer la semaine prochaine une plateforme en ligne pour recueillir avis et propositions des citoyens. Le rapport Villani sera remis fin janvier au gouvernement, qui proposera des actions législatives ou réglementaires dès la fin du premier trimestre 2018. Reste la question du financement, car une politique ambitieuse en matière d'IA devra se concrétiser par des investissements conséquents. "Ils seront importants", promet Mounir Mahjoubi. Reste à savoir s'ils seront suffisants, et surtout, intelligemment alloués.
Cédric Villani a présenté un point d'étape de sa "mission" sur l'intelligence artificielle.
DATE-CHARGEMENT: 30 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
259 of 500 DOCUMENTS
La Tribune Hebdomadaire
1 décembre 2017
RÉGULER SANS BRIDER
AUTEUR: SYLVAIN ROLLAND
RUBRIQUE: INTELLIGENCE ARTIFICIELLE; Pg. 6
LONGUEUR: 1339 mots
ENCART: Ce que l'IA va changer pour les politiques
Les bouleversements sociaux et économiques profonds promis par le déferlement de l'intelligence artificielle dans nos vies font peser sur les politiques - un peu désemparés - la responsabilité de tirer profit de la révolution en cours, tout en protégeant la population de ses dérives possibles. Pas une mince affaire...
Les robots intelligents, dotés d'une véritable autonomie de décision au point de pouvoir remplacer l'homme dans l'exercice de tâches intellectuelles, doivent-ils avoir des droits et des devoirs comme un humain, bref bénéficier d'une personnalité juridique ? Cette interrogation philosophique fait les beaux jours de la science-fiction depuis longtemps. Mais elle est tout sauf farfelue ou futuriste : dans un rapport de juin 2016, le Parlement européen s'est prononcé par l'affirmative. Soucieuse de créer un " statut " pour les robots, la Commission des affaires juridiques voudrait que l'UE qualifie de " personnes électroniques " toutes les machines capables de décider et de se déplacer en autonomie. Y compris les robots humanoïdes et les voitures sans conducteur, qui devraient débarquer dans nos villes dans moins d'une décennie.
QUELLE RÉPONSE LÉGISLATIVE ET RÉGLEMENTAIRE ?
La proposition a fait grand bruit. Et le débat se poursuit toujours. En juin dernier, le Conseil économique et social européen (Cese) s'y est opposé. L'organisme privilégie une approche Human in Command de l'intelligence artificielle. Selon lui, la création d'une personnalité juridique pourrait engendrer des risques trop importants. " Ce serait une catastrophe, l'ouverture d'une boîte de Pandore avec des conséquences aujourd'hui impossibles à anticiper ", abonde Éric Bothorel, député (LRM) des Côtes-d'Armor.
Ce débat illustre bien la complexité de la réponse législative et réglementaire face à cette révolution technologique. L'intelligence artificielle (IA) est déjà là - les assistants virtuels comme Alexa et Google Assistant, certains chatbots de services client et systèmes embarqués - et va déferler dans tous les secteurs de l'économie grâce à l'exploitation d'une masse inédite de données avec une grande puissance de calcul. Les élus (gouvernement, parlementaires) sont sous pression. À la fois de la part des experts - scientifiques, entrepreneurs, penseurs - et de la population. Tous attendent de l'État qu'il place la France en bonne position dans la compétition mondiale pour l'IA, tout en protégeant les citoyens de ses impacts sur le travail et de ses dérives potentielles sur la liberté à l'heure où chaque individu devient une somme de données exploitables par des entreprises. " La société nous envoie le signal d'une urgence politique à se saisir de ces enjeux. Il serait dramatique que la France et l'Europe ratent le coche au profit des Américains et des Chinois, qui réalisent des investissements d'une ampleur incomparable avec les nôtres ", confirme Laure de La Raudière, députée (LR) d'Eure-et-Loir.
Reste néanmoins le plus difficile : comment et par où commencer ? " Nous ne partons pas de zéro ", rappelle de son côté Christine Hennion, députée (LRM) des Hauts-de-Seine et spécialiste du numérique. Et de citer le Règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai 2018. " Il affirme des principes et impose des contraintes aux entreprises qui utilisent le moteur de l'intelligence artificielle, c'est-à-dire les données. C'est un bon règlement, car il protège des abus sans rien brider ", estime-t-elle.
Mais en matière d'éthique, de responsabilité pénale, de réglementation sectorielle (dans la santé, l'automobile, l'assurance...), tout reste à faire. Même s'ils reconnaissent l'urgence, beaucoup de députés préconisent paradoxalement de " prendre le temps ", à l'image d'Éric Bothorel. " Il faut garder en tête que les technologies vont plus vite que la loi et que nous sommes au tout début de l'IA. Même les experts n'imaginent pas de manière concrète l'étendue des nouveaux défis qui vont émerger. Travailler sur du droit plutôt que sur de la réglementation, encadrer les technologies plutôt que les usages, ce serait contre-productif car il faudrait revenir sur l'ouvrage tous les six mois ", affirme-t-il.
Ce qui n'empêche pas Bruno Bonnell, serial entrepreneur et député (LRM) du Rhône, d'annoncer, le 14 novembre à Paris, lors du Forum parlementaire sur l'IA, la création prochaine d'un groupe parlementaire sur l'intelligence artificielle dont les travaux pourraient nourrir une loi. Gilles Babinet, le digital champion de la France auprès de la Commission européenne, met en garde.
" La France doit lutter contre sa tentation de produire des lois à un rythme effréné. Encadrer l'IA serait aujourd'hui une erreur. Il faut laisser les choses se mettre en place et intégrer de la réglementation uniquement quand c'est nécessaire ", explique-t-il. Autrement dit : aborder l'IA non pas sous l'aspect technologique, mais encadrer ses conséquences secteur par secteur pour protéger les citoyens et aider les entreprises.
Parmi les " urgences économiques " qu'il identifie figure notamment la création d'un cadre, idéalement européen, pour la voiture autonome. " La Commission y travaille sérieusement, car, sans cadre, il n'y aura pas d'écosystème ", ajoute Gilles Babinet. La question de savoir qui est responsable si la voiture tue quelqu'un se place au coeur des débats. Les assureurs doivent-ils eux-mêmes définir la responsabilité des machines ou cette décision doit-elle venir " d'en haut " ? Les opinions divergent. " Les enjeux autour de la responsabilité pénale des machines intelligentes ou de la fiscalité - comment répartir la valeur produite par l'IA, la question de la taxation des robots - devront forcément être abordés par la loi ", affirme Jean-Pierre Malle, scientifique et fondateur de la société de data intelligence M8.
DES PRIORITÉS POLITIQUES ENCORE À DÉFINIR
Oui, mais quand ? Lorsqu'il est question des priorités politiques, les réponses varient. Pour la députée Christine Hennion, l'urgence est " d'accompagner les travailleurs pour qu'ils deviennent acteurs de la transformation ", via une refonte du système éducatif et de la formation continue. De son côté, Laure de La Raudière insiste sur la nécessité d'investissements massifs dans la recherche en Europe, et prône une régulation dans le secteur de la santé. " L'IA et les nouvelles technologies peuvent améliorer drastiquement le parcours de soins en passant d'une médecine curative à une médecine préventive et prédictive, source d'économies pour l'État et de bien-être pour la population. Il faut que les politiques impulsent le débat pour lever les conservatismes et définissent, avec la société et par la loi, un cadre éthique ", précise-t-elle.
Dans cette cacophonie, quid du gouvernement ? L'exécutif adopte une approche prudente. Il a choisi de partir d'une feuille blanche, ignorant le rapport " France IA ", publié en début d'année par le précédent gouvernement, qui devait justement poser les bases d'une stratégie française. Emmanuel Macron a préféré commander au député de l'Essonne et mathématicien Cédric Villani une mission sur l'IA, qu'il rendra en début d'année prochaine. L'objectif ? Définir une " feuille de route " pour développer l'IA " au profit du plus grand nombre ", explique le parlementaire. Comment ? En mobilisant des " leviers juridiques et réglementaires, secteur par secteur, en fonction des besoins ", ajoute-t-il. Les propositions s'articuleront autour de six axes : mener une politique industrielle et économique ambitieuse, se doter d'une véritable politique autour des données, anticiper les impacts de l'IA sur le travail et l'emploi, créer une " IA verte " , établir un cadre éthique, et développer la recherche. Au gouvernement ensuite d'en tirer des priorités législatives et réglementaires. Vaste chantier. Mounir Mahjoubi, le secrétaire d'État au Numérique, promet des " investissements humains et financiers conséquents ". Il le faudra bien, si la France et l'Europe veulent rattraper leur retard face aux États-Unis et à l'Asie.
@SylvRolland
DATE-CHARGEMENT: December 1, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Créer une personnalité juridique pour les robots ? Les spécialistes sont partagés.
iStock
TYPE-PUBLICATION: Magazine
Copyright 2017 La Tribune
Tous droits réservés
260 of 500 DOCUMENTS
La Tribune Hebdomadaire
1 décembre 2017
" POUR LA FRANCE, TOUT N'EST PAS PERDU "
AUTEUR: PROPOS RECUEILLIS PAR ERICK HAEHNSEN
RUBRIQUE: INTELLIGENCE ARTIFICIELLE; Pg. 7
LONGUEUR: 1099 mots
ENCART: CÉDRIC VILLANI MATHÉMATICIEN ET DÉPUTÉ LRM DE L'ESSONNE
Interview de Cédric Villani, chercheur en mathématiques (médaille Fields 2010), député (LRM) et vice-président de l'Office parlementaire d'évaluation des choix scientifiques et technologiques (Opecst), chargé par le gouvernement de la mission Intelligence artificielle (IA), dont le rapport doit être rendu en janvier prochain.
LA TRIBUNE - Laboratoires de recherche, universités, écoles d'ingénieurs, startups, accélérateurs... Où se trouvent les pôles d'excellence de notre écosystème de l'IA ?
CÉDRIC VILLANI - L'IA, c'est un écosystème, un sujet de confluence mettant en oeuvre les compétences les plus variées : éthiques, philosophiques, politiques, scientifiques, économiques... Ses usages sont également des plus variés. Il est donc normal que l'on y pense en termes de pôles de compétitivité. Pour la partie la plus théorique, Paris est en tête. Puis viennent le plateau de Saclay ainsi que des villes comme Lille, Grenoble, Toulouse, Sophia Antipolis... Si l'on s'intéresse aux startups, la palette est plus large. Il faut ajouter aux précédentes des villes comme Rouen, Bordeaux, Nantes ou Lyon. La France a renforcé son système de startups. Un gros travail a été accompli par les gouvernements précédents. Même si, vue de l'étranger, la France peut encore apparaître rigide dans ses réglementations, notamment parce qu'il semble difficile de licencier. Bien des clichés vont tomber.
Le contexte politique peut-il changer la donne ?
Au niveau politique, il y a un énorme changement. Avec le nouveau président de la République ainsi que les nouveaux députés - dont certains, comme Bruno Bonnell, sont des serial entrepreneurs de l'innovation -, il s'est constitué une communauté beaucoup plus à l'aise à l'égard de l'écosystème de l'innovation que l'équipe précédente.
Quelle peut être la place de la France en matière d'IA ?
Pour le Dr Laurent Alexandre, dont le livre La Guerre des intelligences [aux éd. JC Lattès, ndlr] fait beaucoup parler, la France a déjà perdu la guerre de l'IA et de la connaissance face aux États-Unis et à la Chine. Je suis plus optimiste. En Europe, le Royaume-Uni a été le premier à publier une vraie stratégie de l'IA. C'est aussi le pays d'Alan Turing, de la cryptographie... Mais la France arrive juste après. De plus, c'est la première force européenne en matière de startup. Tout n'est pas perdu, mais, il y a des pays plus enthousiastes. Par exemple, la Finlande ou l'Estonie connaissent une réelle adhésion populaire à la technologie et à l'innovation.
Quels sont les freins à l'IA ?
De même qu'il existe un marketing de l'adhésion à l'IA, il existe un marketing de la peur (pertes massives d'emplois, robots tueurs...). Il faut savoir qu'il existe une deuxième vague de ce scepticisme, portée notamment par des personnalités comme Cathy O'Neil qui, dans son livre Weapons of Math Destruction [aux éd. Crown, en anglais], pointe le danger posé par les modèles mathématiques [en prenant pour exemple la crise des subprimes]. Son principal argument est que les modèles prédictifs ne sont jamais neutres. Ils reflètent les objectifs et l'idéologie de ceux qui les créent. Et ont tendance à jouer contre les pauvres, renforçant ainsi les inégalités dans la société. Il existe également des freins culturels qui touchent, entre autres, au respect de la vie privée et des données personnelles. Ces préoccupations varient d'un pays à l'autre. En France, la peur du flicage provient de l'époque de Pétain, du nazisme, de la déportation... Nous avons appris qu'il faut faire très attention avec les données personnelles. Aujourd'hui, nous devons trouver de nouveaux équilibres.
Pourtant, les algorithmes d'IA sont une chose et les données, une autre...
Dans les faits, les données sont complètement inséparables des algorithmes d'IA. Car ces derniers font un usage effréné des données. Il faut pouvoir les acquérir, savoir comment les classer, les nettoyer, les enrichir, les protéger, déterminer qui a le droit d'y accéder... Mais comment faire évoluer le modèle européen des données ?
À cet égard, que pensez-vous du Règlement général sur la protection des données (RGPD) qui va s'appliquer, dès le 25 mai prochain, dans toute l'Europe ? Rappelons qu'il menace d'une amende de 4 % du chiffre d'affaires les entreprises non conformes ?
Je fais partie de ceux qui pensent que le RGPD est un facteur d'innovation. De nouvelles architectures de logiciels et de nouvelles méthodes de traitement des données vont se développer. Le RGPD est une incitation à trouver des modèles plus respectueux et plus explicatifs.
À quel moment allez-vous remettre le rapport de votre mission gouvernementale sur l'IA ?
Il sera remis fin janvier. L'équipe de la mission comprend une demi-douzaine de personnes, dont un grand expert de l'IA, Marc Schoenauer, directeur de recherche à l'Inria de Saclay [Institut national de recherche en informatique et automatique]. Nous organisons des tables rondes qui, pendant près de trois heures, rassemblent chacune une dizaine de parties prenantes. La mission aura interrogé 250 personnes. En plus du rapport gouvernemental, il y aura une synthèse dont nous voulons que tout le monde puisse s'emparer. Ce devrait être un ouvrage disponible en librairie, rédigé dans une langue accessible et accompagné de documents audiovisuels. Une chose est sûre : cette synthèse doit être citoyenne.
Le rapport France IA du précédent gouvernement préconisait d'investir 1,5 milliard d'euros dans l'IA. Combien prévoyez-vous ?
Nous n'en sommes pas là ! Développer l'IA en France n'est pas qu'une question d'investissement public. L'IA pose la question des données qu'il faut acheter, stocker et gérer, notamment du point de vue de la souveraineté. Pour des raisons de sécurité et d'efficacité, il faut s'interroger sur le cloud en sachant que le projet de " cloud souverain " à la française a été un échec. Les Américains sont très en avance sur nous. Bien sûr, en France, nous avons l'hébergeur OVH, mais il lui faudrait consentir d'énormes investissements pour se hisser au niveau des Amazon, Google et Microsoft. Dans ce contexte, il n'est pas question de saupoudrer les deniers publics.
Quelles sont les réflexions les plus cruciales que vous inspire l'IA ?
La première est pragmatique : qui va former nos TPE, PME, ETI pour éviter qu'elles ne se tournent que vers les géants de l'IA ? Ensuite, j'ai une réflexion théorique. L'IA s'est développée de manière empirique : ça marche, mais on ne sait pas comment ni pourquoi. Quels sont les vrais concepts qui sous-tendent l'IA ? Nous ne le savons pas.
@ErickHaehnsen
CÉDRIC VILLANI
MATHÉMATICIEN ET DÉPUTÉ LRM DE L'ESSONNE
DATE-CHARGEMENT: December 1, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: SIPA
TYPE-PUBLICATION: Magazine
Copyright 2017 La Tribune
Tous droits réservés
261 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Jeudi 30 Novembre 2017
"Les 12 départements de la région Nouvelle-Aquitaine ont mutualisé leur démarche de mise en conformité au RGPD"
AUTEUR: Philippe Crouzillacq
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 1215 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la correspondante informatique et liberté (CIL) du département de la Charente-Maritime évoque son action commune avec les CIL de la région.
JDN. Quel est votre parcours, pourquoi avoir choisi de vous orienter vers cette fonction ? Quelle est aujourd'hui votre place dans la structure organisationnelle du département ? Marie-Laure Baron est la CIL du département de la Charente-Maritime. © Charente-Maritime
Marie-Laure Baron. Au sein de la collectivité depuis 1992, j'étais jusqu'en 2014 responsable du centre de services à la DSI puis en charge de l'animation des réseaux de compétences informatiques au sein des directions.
Le département a souhaité me nommer CIL en 2014, bien que n'ayant pas un cursus juridique. Dès ma prise de fonction en février 2014, j'ai suivi l'ensemble des ateliers proposés par la Cnil et rencontré d'autres CIL dans les départements. Ces échanges m'ont permis de prendre rapidement la mesure de ce poste et de gagner du temps sur la démarche à suivre.
Dès 2015, un budget dédié à la protection des données a été décidé. Cela me permet d'avoir recours à de la prestation externe, d'adhérer à des réseaux professionnels et de suivre des formations quand le sujet le justifie. En termes d'organisation, je rencontre à minima une fois par mois la secrétaire générale, pour un temps dédié à la protection des données en présence du RSSI.
Quels sont les principaux enjeux de votre action au sein de cette institution ?
Depuis 2015, une sensibilisation aux enjeux de la protection des données est menée au sein de toutes les directions métiers par le biais de réunions et par des campagnes d'affichage. Mon rôle consiste également à conseiller et accompagner le département d'une part dans les nouveaux traitements et d'autre part pour assurer la conformité des traitements déjà opérationnels.
Pour tout projet, avec le RSSI nous souhaitons rencontrer les équipes projet très en amont. Le respect de cette procédure permet d'adapter le cahier des charges et de respecter la protection des données dès la conception et par défaut.
Je présente annuellement, lors du bilan, un plan d'audit des traitements déjà opérationnels au directeur général. Des réunions sont ensuite programmées avec les directions métiers pour effectuer le contrôle de conformité des traitements priorisés. Il est également nécessaire de vérifier régulièrement les formulaires de collecte, papier ou numérique.
Quels effectifs sont mobilisés au sein de la collectivité départementale pour cette mission de protection des données personnelles ?
Cette mission fait partie intégrante de la gouvernance autour de la protection des données personnelle et du système d'information mise en ½uvre au sein de notre collectivité. Cette gouvernance s'appuie également sur le RSSI et sur un réseau de relais Informatique et Libertés (RIL) au sein de chaque direction métier.
Ces relais sont importants pour une collectivité qui compte 3 200 agents. Je rencontre chaque RIL délégué une fois par mois pour échanger sur tous les sujets relatifs à la protection des données personnelles dans leur direction (nouveaux traitements, besoins de sensibilisations, revue des formulaires,...). Actuellement nous testons une solution de chiffrement des mails contenant des données personnelles ou sensibles. N'ayant pas de cursus juridique, je peux m'appuyer sur un juriste interne en cas de besoin.
Par ailleurs, les archives départementales sont contactées à chaque nouveau traitement et lors des audits de conformité pour s'assurer de la durée de conservation des données.
Quelles premières mesures avez-vous prises à votre arrivée ?
Lors de ma prise de fonction, j'ai commencé par rencontrer la direction générale puis les directions métiers pour les sensibiliser. Mes missions antérieures au sein de la collectivité m'ont été utiles car je connais bien les agents. À ce jour plus de 1 200 agents ont été sensibilisés de façon présentielle.
Dans le même temps, j'ai réalisé une cartographie macroscopique des domaines présentant le plus de risque à savoir les traitements de RH et du domaine social. J'ai décidé d'inscrire tous les traitements sous la responsabilité du département, ce qui permet aux agents qui ont accès depuis notre intranet à un registre simplifié de vérifier si leur traitement est recensé.
En février dernier, lors d'une réunion à l'ADF (Assemblée des départements de France) les 12 départements de la région Nouvelle Aquitaine ont décidé de mutualiser leur démarche de mise en conformité au RGPD. Ce groupe de travail dont j'assure l'animation a permis de nommer un délégué au sein de chaque collectivité.
Ce travail commun a également permis l'acquisition d'une même solution applicative qui permet aux CIL et au RSSI de documenter, suivre et tracer toutes la conformité des traitements. Tout en gardant notre indépendance, le fait de se regrouper a permis d'obtenir jusqu'à 50% de remise sur les formations et 30% de réduction sur le prix public de la solution retenue
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
J'interviens, avec le RSSI, dans la journée nouvel arrivant qui se tient tous les trimestres. Au cours de cette journée nous disposons d'une fenêtre d'intervention de 30 minutes chacun pour expliquer notamment comment le département protège les données des agents et des usagers. Dans les dossiers de recrutement chaque futur agent doit valider qu'il a bien pris connaissance et qu'il accepte toutes les politiques de protection des données personnelles et du SI.
Nous avons également mené une campagne d'affichage centrée sur les règles d'or de la protection des données. Fin 2015, nous avons effectué une enquête sur la sensibilisation sur le thème "Cela a changé quoi pour vous ?". Avec des résultats très encourageants. Un espace Informatique et Libertés dans notre intranet a également été créé dès 2015. Il intègre aussi bien des documents autour de la gouvernance, qu'une veille. Avec l'application du RGPD en mai 2018, je vais refaire une intervention sur les nouveaux enjeux et obligations portés par ce règlement dans les réunions de directions à partir de janvier.
Quels sont vos principaux chantiers à venir ?
L'année 2018 sera consacrée à la mise en conformité du département au RGPD, notamment par la revue des conventions ou documents liés aux procédures des marchés publics, la mise à jour des mentions légales sur les formulaires de collecte, l'application au quotidien de la gouvernance et des procédures liées.
Une action de sensibilisation forte va être menée auprès des directions pour leur expliquer les enjeux et obligations portés par le RGPD, la gouvernance mise en place au sein de notre collectivité, le rôle du délégué à la protection des données et le respect des procédures permettant d'assurer la conformité du département
Par ailleurs, depuis 2014, la Cnil décerne un label à des produits ou à des procédures tendant à la protection des personnes. Pour les utilisateurs, c'est un indicateur de confiance garantissent un haut niveau de protection de leurs données personnelles. Le département de la Charente-Maritime a déposé une demande de label en août dernier. J'espère que le département obtiendra ce label durant le premier semestre 2018.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 30 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
262 of 500 DOCUMENTS
La Tribune.fr
Jeudi 30 Novembre 2017 7:00 AM CET
Intelligence artificielle : quelles pistes pour placer la France dans la compétition mondiale ?
AUTEUR: Sylvain Rolland
RUBRIQUE: TECHNOS & MEDIAS
LONGUEUR: 1384 mots
ENCART: Le député de l'Essonne et mathématicien Cédric Villani a présenté, avec le secrétaire d'Etat au Numérique Mounir Mahjoubi, le bilan à mi-parcours de sa mission sur l'intelligence artificielle. Avec six axes clés de travail, et l'ouverture, la semaine prochaine, d'une plateforme collaborative en ligne. Décryptage.
Quelle stratégie pour la France sur l'intelligence artificielle, qui impactera à terme tous les secteurs de l'économie et va profondément changer notre société ? Face à la pression de la concurrence internationale - les Etats-Unis et la Chine investissent à coups de dizaines de milliards et sont très en avance -, la France et l'Europe doivent agir très vite pour, sinon rivaliser, au moins tirer leur épingle du jeu. C'est pourquoi Emmanuel Macron a confié à Cédric Villani, mathématicien émérite et député (LREM) de l'Essonne, une mission sur l'IA, dont les conclusions seront dévoilées à la fin du mois du janvier. Aidé par Marc Schoenauer, directeur de recherche à l'Inria et pointure mondiale de l'IA, Cédric Villani a rencontré ces derniers mois 250 experts (chercheurs, entrepreneurs, élus, entreprises...), venus de 13 pays. L'objectif ?
"Définir une stratégie pour la France." Ses conclusions devraient alimenter plusieurs textes législatifs et réglementaires et mobiliser tous les services de l'Etat dès 2018, afin de permettre le développement de l'IA d'un point de vue économique, à l'intérieur d'un cadre éthique et respectueux des données personnelles. Voici les six axes de travail du rapport, présentés mercredi 29 novembre avec le secrétaire d'Etat au Numérique, Mounir Mahjoubi, lors d'un point de mi-parcours. Juste avant le lancement, la semaine prochaine, d'une plateforme collaborative en ligne pour recueillir les propositions et initiatives citoyennes. Mettre la puissance publique en ordre de bataille "La compétition internationale est très intense et le chemin pour faire émerger des champions nationaux et européens de l'IA est étroit", admet Cédric Villani. D'où la nécessité de mettre en place à la fois une politique transversale (soutenir financièrement l'innovation dans l'IA, adapter les cadres juridiques, réglementaires et organisationnels pour lever les freins) et sectorielle (traiter les impacts de l'IA secteur par secteur). En outre, puisque l'IA s'insère dans tous les secteurs, la mission préconise de "se concentrer sur quelques secteurs clés qui constituent des niches économiques d'excellence pour répondre à des grands défis collectifs" : la santé, le transport, l'environnement et la défense. Pour chacun d'entre eux, l'Etat devra se positionner en "tiers de confiance", en trouvant les bonnes certifications et labels, et favoriser l'émergence d'écosystèmes forts, tout en permettant aux entreprises d'expérimenter. Une véritable politique de la donnée Pilier du développement de l'intelligence artificielle, les données qui nourrissent les algorithmes d'intelligence artificielle capables de prendre des décisions qui relevaient jusqu'à présent de l'intelligence humaine, devront faire l'objet d'une "véritable politique de l'Etat", estime le rapport, pour favoriser "l'ouverture, la mutualisation et le partage de données publiques et privées, tout en protégeant les individus". L'objectif : que les startups, entreprises et chercheurs aient accès à des jeux de données structurés, fiables et débarrassés des biais humains que l'intelligence artificielle pourrait reproduire. Ainsi, Cédric Villani propose de repenser la protection des données non pas autour de la collecte, qui est à la fois inévitable et indispensable, mais autour des usages. "Il faut intégrer des règles éthiques dans le développement des produits et services d'IA, secteur par secteur", juge Cédric Villani. Les défis sont autant techniques (quel format adopter, comment stocker les masses de données en garantissant leur sécurité) que légaux (définir les données qui peuvent être utilisées). Dans ce contexte, Cédric Villani aborde le Règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai 2018, comme un gros point d'interrogation.
"L'approche européenne, très protectrice, nous donne l'opportunité de nous démarquer. Mais certaines entreprises pourraient se paralyser à cause de ces nouvelles contraintes, si on ne leur donne pas les moyens d'en tirer profit." Anticiper et maîtriser les impacts de l'IA sur le travail et l'emploi Les prédictions en matière d'impact de l'intelligence artificielle sur le travail sont diamétralement opposées : certains estiment que des millions d'emplois seront supprimés par l'automatisation des tâches, conduisant à un chômage de masse. D'autres prédisent la création de centaines de nouveaux métiers et misent plutôt sur un remplacement de l'emploi. D'où la nécessité de transformer les compétences et de repenser l'éducation et la formation. "C'est probablement le sujet le plus frustrant, car très peu ont les idées claires sur comment faire", admet Cédric Villani. Le député estime que l'Etat doit d'abord anticiper les impacts sur l'emploi, via par exemple une structure dédiée. Puis axer l'éducation sur l'acquisition de compétences numériques, de compétences cognitives générales (capacités de résolution de problème et de compréhension du langage), de capacités d'adaptation et de créativité, sans oublier les compétences autour de la "dextérité manuelle".
"Penser que la machine va remplacer l'homme est une vision simpliste. L'IA autonome de toute intervention humaine n'est ni pour demain, ni pour après-demain. Mais la complémentarité homme/machine est source de développement économique", estime-t-il. Maîtriser l'impact environnemental de l'IA En 2015, l'association américaine du semi-conducteur prévoyait que les besoins en calcul excéderaient la production énergétique mondiale d'ici à 2040. Autrement dit : l'IA, nourrie aux données produites et hébergées par des centres de données, est un gouffre énergétique, pas du tout écolo. "La vision de la France doit donc consister à développer simultanément une IA plus verte et une IA au service de la transition écologique", préconise Cédric Villani. L'Etat pourrait mettre en place des incitations au verdissement des data centers ou encore préparer l'après-silicium. Un lieu de recherche en France dédié à la soutenabilité du numérique et de l'algorithmie est aussi envisagé. Un cadre éthique à définir
"L'éthique, la confiance et la responsabilité sont cruciaux pour le développement de l'IA, car sinon ces technologies ne seront pas acceptées par les citoyens", affirme Cédric Villani. La piste de labels sectoriels (les entreprises devraient se soumettre à des règles dans chaque secteur - la santé par exemple - pour être certifiées) sera explorée dans le rapport final. Le gouvernement devrait aussi réfléchir sur "l'explicabilité" des technologies, c'est-à-dire faire en sorte que les citoyens ne vivent pas les décisions des algorithmes d'intelligence artificielle comme arbitraires (comme pour le logiciel APB), mais qu'ils comprennent pourquoi et comment la décision a été prise. "Un effort de pédagogie autour de l'IA est indispensable", confirme Mounir Mahjoubi. Développer absolument la recherche et éviter la fuite des talents Le dernier enjeu primordial identifié par la mission Villani concerne la recherche, tant au niveau public que du côté des entreprises. "Nous manquons de mathématiciens et d'ingénieurs spécialisés en mathématiques. Nos talents sont aussi trop souvent aspirés par des entreprises ou laboratoires publics étrangers", déplore Cédric Villani, qui regrette les "lourdeurs administratives" qui pèsent sur la recherche française. Les mesures qui seront proposées devront donc "offrir un environnement de travail digne d'eux aux chercheurs en IA pour les faire revenir et attirer les chercheurs étrangers" et "offrir aux entrepreneurs un écosystème plus favorable à la création d'entreprises", notamment en favorisant les passerelles entre le public et le privé. Et ensuite ? Le gouvernement va lancer la semaine prochaine une plateforme en ligne pour recueillir avis et propositions des citoyens. Le rapport Villani sera remis fin janvier au gouvernement, qui proposera des actions législatives ou réglementaires dès la fin du premier trimestre 2018. Reste la question du financement, car une politique ambitieuse en matière d'IA devra se concrétiser par des investissements conséquents. "Ils seront importants", promet Mounir Mahjoubi. Reste à savoir s'ils seront suffisants, et surtout, intelligemment alloués.
Cédric Villani a présenté un point d'étape de sa "mission" sur l'intelligence artificielle.
DATE-CHARGEMENT: 30 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
263 of 500 DOCUMENTS
La Tribune de Geneve
jeudi 30 novembre 2017
Face aux pervers, comment protégerles données des coureurs de l'Escalade;
Cette année, le numéro des dossards sera supprimé dansles classements. En 2018, une loi va tout bouleverser
RUBRIQUE: GENEVE; Pg. 18
LONGUEUR: 785 mots
Pour sa quarantième édition, la Course de l'Escalade, ce week-end, va battre tous les records avec 51 107 inscrits. En 2013, 2014 et 2015 pourtant, cet événement populaire, familial et joyeux avait été entaché par les agissements d'un pervers qui ciblait de très jeunes participantes, retrouvait leurs coordonnées, les harcelait au téléphone de propos orduriers et transformait leur vie en enfer. Au point que certaines d'entre elles ont complètement arrêté la pratique du sport.
Le calvaire des enfants
Ce prédateur, un quinquagénaire actif dans le domaine de la finance, a été condamné l'année dernière à 15 mois de prison avec sursis pour menaces, pornographie et désagréments causés par la confrontation à un acte d'ordre sexuel. Toute une série de mères avaient témoigné du calvaire que leurs familles avaient subi. Jean-Louis Bottani, président et fondateur de la Course de l'Escalade, avait assisté à une partie du procès et se disait «terriblement choqué» par ce qu'il avait entendu. «Nous aurons un débat sur la manière de rendre l'accès aux données personnelles plus difficile, nous confiait-il alors. Peut-être que la publication des numéros de dossard est inutile, ainsi que la mention du lieu d'habitation.»
Les mesures prises
Où en est-on une année après? «On a fait effacer par Datasport le numéro des dossards des participants sur les résultats et les classements de la course», nous indique Jean-Louis Bottani. Il avait été question également de flouter le numéro de dossard sur les photos, mais l'idée a été abandonnée. «Nous n'avions pas d'application pour le faire et flouter les photos une à une prenait un temps considérable.»
Autre précaution: éviter, pour l'album officiel, les clichés individuels des mineurs. Privilégier plutôt les images de groupe.
Cela suffira-t-il? «Ce sont des petits obstacles, mais qui vont déjà au-delà de nos obligations légales, précise l'organisateur de la course. Mais un détraqué trouvera toujours le moyen de contourner ces obstacles.» Alors que faire? Jean-Louis Bottani précise qu'au niveau de l'association faîtière qui regroupe les courses populaires les plus importantes de Suisse, la question intéresse moyennement parce que personne n'a connu de cas similaire à celui du pervers de l'Escalade.
Le risque est partout
Interrogé à ce sujet, Reto Schorno, président de Swiss Runners, explique: «Cet épisode est très répréhensible mais heureusement exceptionnel. Nous respectons la législation en vigueur au sujet de la protection des données. Mais le problème se pose dans tout le monde du sport. Mes enfants font du hockey sur gazon. Leurs noms apparaissent dans la presse, quelqu'un de malintentionné pourrait retrouver leur adresse sur Local.ch. Le problème est difficile à résoudre.»
Le président de Swiss Runners précise aussi que «chaque organisateur de course est responsable de la protection des données des participants, il peut prendre des initiatives».
La situation pourrait complètement changer l'année prochaine. Une nouvelle loi européenne sur la protection des données devra être appliquée en Suisse, nous apprend Andreas Csonka, PDG zurichois de Datasport et partenaire de la Course de l'Escalade pour le chronométrage, les dossards, l'enregistrement, les résultats et la gestion des données. Ce texte de loi, dit Règlement général sur la protection des données (RGPD), vise les éléments à caractère personnel. Il a été voté par le Parlement européen en 2016 et sera applicable dans les État membres de l'UE dès mai 2018.
La loi qui changera tout
Selon Andreas Csonka, la Suisse devra aussi s'y adapter. Qu'est-ce que cela signifie au niveau des courses populaires? «Il faudra informer clairement tous les participants des risques pris lorsque des informations personnelles sont divulguées, explique-t-il. Notamment sur le fait qu'elles peuvent être exploitées par des personnes malveillantes.» Toujours selon le PDG de Datasport, il ne suffira pas de les avertir par le biais d'un texte juridique abscons et écrit en lettres minuscules: «Pas de langue de bois, mais une information claire et compréhensible par tous.»
Dans les formulaires d'inscription, il faudra désormais cocher l'option opt in si l'on est d'accord qu'une photo ou qu'un résultat de soi-même ou de ses enfants soient publiés. Et opt out si on refuse. «La publication des photos et des données se fera désormais obligatoirement sur une base volontaire», insiste Andreas Csonka.
Dès février prochain Datasport donnera des séminaires où les organisateurs des différentes courses populaires seront informés des nouvelles dispositions légales et des obligations qui en découlent.
Lire aussi en page 24
DATE-CHARGEMENT: 30 novembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Les organisateurs de la Course de l'Escalade prennent des mesures pour rendre plus difficile l'accès aux données personnelles des participants. PIERRE ALBOUY
TYPE-PUBLICATION: Journal
Copyright 2017 Tamedia
tous droits réservés
264 of 500 DOCUMENTS
La Tribune
Jeudi 30 Novembre 2017
Intelligence artificielle : quelles pistes pour placer la France dans la compétition mondiale ?
AUTEUR: Sylvain Rolland
RUBRIQUE: FOCUS; Pg. 15
LONGUEUR: 1372 mots
ENCART: Le député de l'Essonne et mathématicien Cédric Villani a présenté, avec le secrétaire d'Etat au Numérique Mounir Mahjoubi, le bilan à mi-parcours de sa mission sur l'intelligence artificielle. Avec six axes clés de travail, et l'ouverture, la semaine prochaine, d'une plateforme collaborative en ligne. Décryptage.
Quelle stratégie pour la France sur l'intelligence artificielle, qui impactera à terme tous les secteurs de l'économie et va profondément changer notre société ? Face à la pression de la concurrence internationale - les Etats-Unis et la Chine investissent à coups de dizaines de milliards et sont très en avance -, la France et l'Europe doivent agir très vite pour, sinon rivaliser, au moins tirer leur épingle du jeu. C'est pourquoi Emmanuel Macron a confié à Cédric Villani, mathématicien émérite et député (LREM) de l'Essonne, une mission sur l'IA, dont les conclusions seront dévoilées à la fin du mois du janvier. Aidé par Marc Schoenauer, directeur de recherche à l'Inria et pointure mondiale de l'IA, Cédric Villani a rencontré ces derniers mois 250 experts (chercheurs, entrepreneurs, élus, entreprises...), venus de 13 pays. L'objectif ?
"Définir une stratégie pour la France." Ses conclusions devraient alimenter plusieurs textes législatifs et réglementaires et mobiliser tous les services de l'Etat dès 2018, afin de permettre le développement de l'IA d'un point de vue économique, à l'intérieur d'un cadre éthique et respectueux des données personnelles. Voici les six axes de travail du rapport, présentés mercredi 29 novembre avec le secrétaire d'Etat au Numérique, Mounir Mahjoubi lors d'un point de mi-parcours. Juste avant le lancement, la semaine prochaine, d'une plateforme collaborative en ligne pour recueillir les propositions et initiatives citoyennes. Mettre la puissance publique en ordre de bataille "La compétition internationale est très intense et le chemin pour faire émerger des champions nationaux et européens de l'IA est étroit", admet Cédric Villani. D'où la nécessité de mettre en place à la fois une politique transversale (soutenir financièrement l'innovation dans l'IA, adapter les cadres juridiques, réglementaires et organisationnels pour lever les freins. En outre, puisque l'IA s'insère dans tous les secteurs, la mission préconise de "se concentrer sur quelques secteurs clés qui constituent des niches économiques d'excellence pour répondre à des grands défis collectifs" : la santé, le transport, l'environnement et la défense. Pour chacun d'entre eux, l'Etat devra se positionner en "tiers de confiance", en trouvant les bonnes certifications et labels, et favoriser l'émergence d'écosystèmes forts, tout en permettant aux entreprises d'expérimenter. Une véritable politique d'Etat de la donnée Pilier du développement de l'intelligence artificielle, les données qui nourrissent les algorithmes d'intelligence artificielle capables de prendre des décisions qui relevaient jusqu'à présent de l'intelligence humaine, devront faire l'objet d'une "véritable politique de l'Etat", estime le rapport, pour favoriser l'ouverture, la mutualisation et le partage de données publiques et privées, tout en protégeant les individus. L'objectif : que les startups, entreprises et chercheurs aient accès à des jeux de données structurés, fiables et débarrassés de biais humains que l'intelligence artificielle pourrait reproduire. Ainsi, Cédric Villani propose de repenser la protection des données non pas autour de la collecte, qui est à la fois inévitable et indispensable, mais autour des usages. "Il faut intégrer des règles éthiques dans le développement des produits et services d'IA, secteur par secteur", juge Cédric Villani. Les défis sont autant techniques (quel format adopter, comment stocker les masses de données en garantissant leur sécurité) et légaux (définir les données qui peuvent être utilisées). Dans ce contexte, Cédric Villani aborde le Règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai 2018, comme un gros point d'interrogation. "L'approche européenne, très protectrice, nous donne l'opportunité de nous démarquer. Mais certaines entreprises pourraient se paralyser à cause de ces nouvelles contraintes, si on ne leur donne pas les moyens d'en tirer profit." Anticiper et maîtriser les impacts de l'IA sur le travail et l'emploi Les prédictions en matière d'impact de l'intelligence artificielle sur le travail sont diamétralement opposées : certains estiment que des millions d'emplois seront supprimés par l'automatisation des tâches, conduisant à un chômage de masse. D'autres prédisent la création de centaines de nouveaux métiers et misent plutôt sur un remplacement de l'emploi. D'où la nécessité de transformer les compétences et de repenser l'éducation et la formation. "C'est probablement le sujet le plus frustrant, car très peu ont les idées claires sur le comment", admet Cédric Villani. Le député estime que l'Etat doit d'abord anticiper les impacts sur l'emploi, via par exemple une structure dédiée. Puis axer l'éducation sur l'acquisition de compétences numériques, de compétences cognitives générales (capacités de résolution de problème et de compréhension du langage), les capacités d'adaptation et de créativité, sans oublier les compétences autour de la "dextérité manuelle".
"Penser que la machine va remplacer l'homme est une vision simpliste. L'IA autonome de toute intervention humaine n'est ni pour demain, ni pour après-demain. Mais la complémentarité homme/machine est source de développement économique", estime-t-il. Maîtriser l'impact environnemental de l'IA En 2015, l'association américaine du semi-conducteur prévoyait que les besoins en calcul excéderaient la production énergétique mondiale. Autrement dit : l'IA, nourrie aux données produites et hébergées par des centres de données, est un gouffre énergétique, pas du tout écolo. "La vision de la France doit donc consister à développer simultanément une IA plus verte et une IA au service de la transition écologique", préconise Cédric Villani. L'Etat pourrait mettre en place des incitations au verdissement des data centers ou encore préparer l'après-silicium. Un lieu de recherche en France dédié à la soutenabilité du numérique et de l'algorithmie est aussi envisagé. Un cadre éthique à définir
"L'éthique, la confiance et la responsabilité sont cruciaux pour le développement de l'IA, car sinon ces technologies ne seront pas acceptées par les citoyens", affirme Cédric Villani. La piste de labels sectoriels (les entreprises devraient se soumettre à des règles dans chaque secteur - la santé par exemple - pour être certifiées) sera explorée dans le rapport final. Le gouvernement devrait aussi réfléchir sur "l'explicabilité" des technologies, c'est-à-dire faire en sorte que les citoyens ne vivent pas les décisions des algorithmes d'intelligence artificielle comme arbitraires (comme pour le logiciel APB), mais qu'ils comprennent pourquoi et comment la décision a été prise. "Un effort de pédagogie autour de l'IA est indispensable", confirme Mounir Mahjoubi. Développer absolument la recherche et éviter la fuite des talents Le dernier enjeu primordial identifié par la mission Villani concerne la recherche, tant au niveau public que du côté des entreprises. "Nous manquons de mathématiciens et d'ingénieurs spécialisés en mathématiques. Nos talents sont aussi trop souvent aspirés par des entreprises ou laboratoires publics étrangers", déplore Cédric Villani, qui regrette aussi les "lourdeurs administratives" qui pèsent sur la recherche française. Les mesures qui seront proposées devront donc "offrir un environnement de travail digne d'eux aux chercheurs en IA pour les faire revenir et attirer les chercheurs étrangers" et "offrir aux entrepreneurs un écosystème plus favorable à la création d'entreprises", notamment en favorisant les passerelles entre le labo et l'entreprise. Et ensuite ? Le gouvernement va lancer la semaine prochaine une plateforme en ligne pour recueillir avis et propositions des citoyens. Le rapport Villani sera remis fin janvier au gouvernement, qui proposera des actions législatives ou réglementaires dès la fin du premier trimestre 2018. Reste la question du financement, car une politique ambitieuse en matière d'IA devra se concrétiser par des investissements conséquents. "Ils seront importants", promet Mounir Mahjoubi. Reste à savoir s'ils seront suffisants, et surtout, intelligemment alloués.
Cédric Villani a présenté un point d'étape de sa "mission" sur l'intelligence artificielle.
DATE-CHARGEMENT: 29 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
265 of 500 DOCUMENTS
Le Figaro Online
jeudi 30 novembre 2017 07:38 PM GMT
Les Cnil européennes joignent leur force pour enquêter sur la faille d'Uber
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 813 mots
ENCART: Les autorités spécialisées dans la protection des données créent une cellule pour coordonner les enquêtes sur la faille qui a permis un piratage géant de 57 millions de comptes. La commission européenne qualifie l'entreprise de VTC d'«irresponsable».
Uber les a toutes fâchées. Les autorités de protection personnelles européennes ont annoncé qu'elles joignaient leurs forces pour enquêter sur les pratiques du géant des VTC. Uber a reconnu la semaine dernière qu'il avait été piraté il y a un an, et que les noms, adresses mails, numéros de téléphone de près de 56 millions de clients et 600 000 chauffeurs avaient été dérobés par «deux individus». L'entreprise jure qu'elle a obtenu des preuves de la suppression de ses informations sensibles auprès des criminels, à qui elle a versé 100.000 dollars en échange de leur discrétion. Elle reste présumée coupable d'avoir négligé la sécurité de données personnelles de millions de personnes et d'avoir manqué à ses obligations légales de notification de la faille aux autorités compétentes. La commissaire européenne à la Justice, Vera Jourova, a d'ailleurs qualifié le comportement de la société Uber d'«irresponsable» dans cette affaire.
» LIRE AUSSI - Uber: les données de 57 millions d'utilisateurs piratées
Hasard de calendrier, le groupe de travail des autorités de protection personnelles européennes, le G29, devait justement se réunir quelques jours après ces révélations, lors de l'une de ses séances plénières régulières. Après l'annonce de cette violation de données, le G29 a ajouté le cas d'Uber à son agenda de discussions et attendu cette réunion pour annoncer une action coordonnée. Ses membres ont donc décidé de mettre en place un groupe de travail, dirigé par le régulateur des données personnelles néerlandais - le siège européen d'Uber étant située à Amsterdam-, et de membres de ses homologues français, italiens, espagnols, belges, allemands et britanniques.
Plusieurs enquêtes
Uber a tenté de gérer la crise d'une nouvelle manière, après des mois de scandales à répétition. Son nouveau PDG, Dara Khosrowshahi, a ainsi publié un communiqué officiel d'excuses, tandis que les équipes de l'entreprise ont eu pour priorité de collaborer avec les différents régulateurs et instances gouvernementales, a-t-on fait savoir du côté de la firme française d'Uber. Mais plusieurs autorités n'ont pas attendu pour lancer des poursuites. Le procureur général de l'État de New York, Eric Schneiderman, a ainsi ouvert une enquête pour vérifier si d'autres données (bancaires notamment) avaient été volées, et si des lois de protection des données personnelles des citoyens de son État avaient été enfreintes. «Il n'y a aucune loi protégeant les consommateurs à l'échelle fédérale, qui obligerait Uber à notifier des failles de ce type, expliquent Kari M. Rollins et Karl Buhler, respectivement associée et juriste au cabinet Sheppard, Mullin, Richter & Hampton à New York. Tout va se jouer au niveau des 48 États américains, où il n'est pas certain que ce type de faille soit systématiquement condamné.» Les victimes américaines tentées par un recours collectif devront quant à elles prouver la recevabilité juridique de leur dossier, avant d'espérer une compensation.
En Europe, le régulateur des données personnelles britannique a également ouvert une enquête dans la foulée des déclarations du PDG d'Uber, suivie de près par son homologue italienne. En France, la Commission nationale informatique et liberté (Cnil) a préféré attendre la réunion du G29, qu'elle préside, pour s'impliquer dans ces investigations. Les manquements d'Uber en matière de protection des données ont toutefois de fortes chances d'avoir été corrigés depuis le hack. Ce qui réduit la possibilité pour la CNIL d'observer les manquements et donc de les sanctionner. Le fait de ne pas avoir prévenu les autorités n'est pas non plus un motif de sanction pour une faille et une entreprise de ce type: seuls les opérateurs télécoms et les Organisations d'Importance Vitale (OIV), qui concernent les banques, énergéticiens etc.) ont une obligation de communiquer aux autorités les attaques qu'elles subissent. La Cnil néerlandaise a, selon le Financial Times, concentré ses efforts pour déterminer si Uber avait bien prévenu les interlocuteurs adéquats à temps.
À partir de mai prochain, avec le règlement pour la protection des données personnelles (RGPD), la procédure sera bien plus radicale lors d'affaires de ce type. Les entreprises seront obligées de notifier les régulateurs européens et, dans certains cas, leurs utilisateurs, sous peine d'amendes colossales - le plafond maximal étant fixé à 20 millions d'euros d'amendes et 4% du PIB mondial. Outre un pouvoir de contrôle et de sanction renforcé, les autorités de protection de données personnelles auront aussi travaillé plus souvent ensemble. Chaque entreprise aura ainsi son régulateur national de référence, chargé de faire l'interface avec toutes les plaintes émanant d'autres régulateurs européens. En ce sens, la mise en place d'une enquête commune sur Uber a des airs de répétition, même s'il n'est pas sûr qu'elle aboutisse à des sanctions.
DATE-CHARGEMENT: 30 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
266 of 500 DOCUMENTS
Stratégies
30 novembre 2017
Edition 1;
National Edition
Le RGPD entre en scÈne
AUTEUR: PASCALE CAUSSAT
RUBRIQUE: Pg. 32,34
LONGUEUR: 1064 mots
FOCUS Le RÈglement européen sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018.
Les sociétés spécialisées en marketing mobile sont en premiÈre ligne. Explications.
La philosophie du RÈglement européen sur la protection des données (RGPD) qui entrera en vigueur le 25 mai prochain est claire, et nul professionnel ne la conteste : face à la croissance des activités basées sur les données personnelles, et face aux nombreux cas de piratage ces derniÈres années, il devenait urgent d'établir un nouveau standard de protection au niveau européen.
Jusqu'à présent en France, il fallait déposer une déclaration préalable à la Cnil (Commission nationale de l'informatique et des libertés, trÈs en pointe sur le dossier). Désormais, les professionnels devront justifier leur utilisation de la don-née tout au long de son cycle de vie. Il leur est demandé de nommer un DPO (data protection officer), un délégué à la protection des données. Un registre doit également recenser les mesures de sécurité prises pour protéger ces données, à quelles fins elles sont traitées, pour quelle durée, si elles sont transférées hors Union européenne... Pour les données sensibles impliquant un risque sur la vie privée, une analyse d'impact est exigée. Enfin, les sanctions encourues sont lourdes, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires.
« En tant que société présente dans le monde entier, nous sommes trÈs contents d'avoir une même réglementation dans 28 pays, se félicite Guillaume Marcerou, responsable de la conformité chez Criteo. Désormais, nous intégrons une équipe dédiée à la privacy au sein des équipes de développement de solutions, afin d'avoir des technologies en permanence à jour suivant les évolutions. » Mais combien de PME n'ont pas les moyens d'investir dans la mise aux normes, voire ignorent le sujet ? Alexis Renard, PDG de Mailjet, gestionnaire d'envois d'e-mails, a constaté qu'une dizaine de ses prestataires étaient critiques : « soit ils n'ont jamais entendu parler du RGPD, soit ils sont dans l'expectative. On dialogue avec eux mais si certains ne s'engagent pas dans la démarche, on s'en séparera. » « Attention à ne pas demander à une start-up le même niveau de réactivité qu'un grand groupe, s'inquiÈte Christophe Vattier, le fondateur de la start-up The Bubbles Company. Si on fait trop d'administratif, on perd de l'argent. » Pire, le rÈglement pourrait pénaliser les pépites françaises. « La limite de la loi, c'est que des entreprises qui n'ont pas leurs serveurs en Europe n'ont pas à s'y conformer. Il y a un risque de perte de compétitivité des entreprises européennes. Pour moi, cela représente 10 % de mon investissement de l'année », témoigne Arthur Saint-PÈre, cofondateur de Dolead, une société de l'adtech.
Comment recueillir le consentement ? Une crainte balayée par Jean Lessi, secrétaire général de la Cnil : « Le rÈglement s'applique aux responsables du traitement de données en dehors de l'UE dÈs lors que celui-ci concerne des consommateurs européens. » Alexis Renard de Mailjet reste sceptique : « Dans les sociétés de la tech américaines où les chaînes de sous-traitants sont imbriquées, leur demander de changer de prestataires est une vue de l'esprit. » L'internaute français est déjà habitué à voir s'afficher un bandeau d'alerte sur les cookies lorsqu'il se connecte à un site, qu'il soit desktop ou mobile. La pratique sera généralisée en Europe, y compris dans l'univers applicatif où les données sont souvent nominatives. Les utilisateurs devront être informés clairement de l'usage de leurs données et pourront s'y opposer. « La charge de la preuve du consentement incombe(ra) au responsable de traitement », précise la Cnil. Cela suppose, pour les acteurs, de revoir leurs conditions générales, leur politique de confidentialité et le formulaire de recueil du consentement. Même si le texte ne l'exige pas, les experts recommandent un double opt-in, avec réception d'un e-mail pour confirmer l'accord. « Ainsi, le consommateur voit votre image, cela renforce la relation de confiance », souligne Darine Fayed, responsable juridique de Mailjet.
Cas particulier : le B to B, où les e-mails non sollicités sont monnaie courante. La collecte du consentement pourrait changer le quotidien des agences de relations presse par exemple.
Le cas particulier de la géolocalisation La donnée de géolocalisation est la spécificité du marketing mobile, appliquée au commerce mais aussi aux éditeurs pour affiner leur ciblage publicitaire. Désormais, les mobinautes devront être beaucoup mieux informés sur l'utilisation de cette donnée, sur le web mobile et sur les applications.
S4M, société spécialisée en mobile-to-store, a anticipé : « on s'interdit de regarder trop fréquemment la géolocalisation : ce n'est pas nécessaire au niveau du ciblage publicitaire et c'est plus respectueux de l'utilisateur », précise Nicolas Rieul, VP stratégie EMEA. Mais la question se pose pour des activités intrinsÈquement liées à l'enregistrement des déplacements, comme la domotique. « Lorsque des appareils connectés allument ou éteignent le chauffage en fonction de l'éloignement de l'utilisateur, il faut définir la proportionnalité entre la collecte de données et la protection des droits des personnes », expliquait Guillaume Flambard, avocat directeur chez Taj, lors d'une matinée sur le RGPD organisée à Station F le 15 novembre.
Et ePrivacy ? Les professionnels du marketing sont vent debout contre la directive ePrivacy qui doit entrer en vigueur en même temps que le RGPD. Les délais ont peu de chances d'être tenus mais une disposition dévoilée en début d'année évoquait une récolte du consentement au niveau du navigateur.
« De fait, elle était confiée au duopole Apple et Google, commente Nicolas Rieul de S4M, également en charge des affaires publiques à la Mobile marketing association France. Or les éditeurs doivent pouvoir vivre de la donnée, à moins de revenir à des modÈles payants. » Criteo suit évidemment le dossier de prÈs : « on s'oriente vers une solution où l'on demande à l'utilisateur de faire un choix, sans option pré-cochée », observe Guillaume Marcerou, responsable de la conformité.
« La limite de la loi, c'est que des entreprises qui n'ont pas leurs serveurs en Europe n'ont pas à s'y conformer. Il y a un risque de perte de compétitivité des entreprises européennes. »
Arthur Saint-PÈre, cofondateur de Dolead.
DATE-CHARGEMENT: November 30, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: © Getty Images
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
267 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 29 Novembre 2017
"Les données personnelles permettront de proposer de nouveaux services aux Franciliens"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 845 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, le correspondant informatique et liberté (CIL) du conseil régional d'Île-de-France évoques les projets de la collectivité sur les données personnelles.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être CIL ? Quelle est votre place dans l'organisation du conseil régional d'Île-de-France et de quelle direction dépendez-vous ? Manuel Beguier est correspondant informatique et liberté (CIL) du Conseil régional d'Île-de-France. © Conseil régional d'Île-de-France
Manuel Beguier. Je suis ingénieur agronome de formation et aujourd'hui ingénieur principal de la fonction publique territoriale. Initialement, j'ai exercé en tant que consultant pour déployer des systèmes d'information puis je me suis dirigé vers l'environnement et le développement durable. Aujourd'hui, je suis rattaché au pôle Achats, performance, commandes publiques et juridique du conseil régional au sein d'un service qui est la mission Administration, pilotage et projets transverses.
Quels sont les principaux enjeux de votre action au sein du Conseil régional d'Île-de-France ?
Le nouvel exécutif a depuis deux ans choisi de mettre en place divers leviers en vue du développement d'une "smart région" pour à la fois rendre plus de services aux Franciliens (particuliers et entrepreneurs) et accroître la performance globale de la collectivité tout en respectant, bien sûr, les obligations légales (sécurité des systèmes d'information, relations avec la Cnil) en matière de gouvernance des données. Cette stratégie s'est accompagnée d'un véritable effort budgétaire avec plus de 40% d'augmentation de notre dotation envers les systèmes d'information. De ce point de vue, la mise en ½uvre du Règlement général sur la protection des données (RGPD) peut aussi être une source d'innovation.
Quelles premières mesures avez-vous prises à votre arrivée ?
J'ai été nommé CIL en février denier. J'ai commencé par un état des lieux en consultant le registre des traitements et en demandant à la CNIL tous les traitements qui lui avaient été déclarés. Ensuite, j'ai reconstitué le réseau des relais informatique et liberté (RIL) qui avait évolué suite à une réorganisation des services. Il y a actuellement seize RIL répartis dans les services du conseil régional. Le directeur général des services (DGS) a souhaité mettre en place un projet de mise en conformité au RGPD dès septembre 2017 et m'a demandé d'en assurer la coordination. Plusieurs groupes de travail ont ainsi été créés afin d'aborder les questions juridiques, techniques et organisationnelles qui accompagnent la mise en place de ce programme de sensibilisation et de formation interne.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Nous pensons qu'il faut se donner de la visibilité et que la donnée constitue un effet de levier significatif"
J'assure l'animation du réseau constitué par la vingtaine de relais informatique et liberté. Nous avons également une newsletter spécifique ainsi qu'une charte informatique qui va bientôt être révisée. Ensuite, nous communiquons avec les référents de traitement, notamment lors de la mise à jour des applicatifs. Nous avons aussi un groupe dédié aux personnes ayant une version transversale de l'organisation, notamment en matière de conduite du changement, de systèmes d'information et de ressources humaines. L'accompagnement au changement alors que la région fait évoluer sa culture est une thématique importante au sein de laquelle la dimension "informatique et libertés" a pris toute sa place. Enfin, Valérie Pécresse, présidente de la région Île-de-France, a récemment nommée Marie-Christine Dirringer, une élue, déléguée spéciale à la "smart région".
Quel usage spécifique faites-vous des données personnelles dont dispose le conseil régional ?
Aujourd'hui, ces données sont assez peu mobilisées. Elles sont anonymisées et agrégées dans des tableaux de bord d'activité afin d'assurer le pilotage de la structure. Demain, nous envisageons de les exploiter pour proposer de nouveaux services en open data afin de coller au plus près des attentes des Franciliens tout en optimisant la performance économique de la région. Nous pensons qu'il faut se donner de la visibilité et que la donnée constitue, de ce point de vue, un effet de levier significatif, notamment dans l'univers des transports, du développement économique ou de la formation professionnelle.
Quels sont vos principaux chantiers à venir ?
D'abord, la mise en place d'un plan de gouvernance des données qui s'appuie sur la volonté de développer l'open data par défaut dès 2018 pour valoriser ces données au service des Franciliens tout en respectant, bien évidemment, les obligations légales (archivage, sécurité des systèmes d'information). Ensuite, la mise en conformité avec le RGPD, notamment en matière de documentation, de traçabilité, de traitement des données, d'habilitation, de consentement et de durée de conservation de ces mêmes données, même si certains outils informatiques ont parfois du mal à suivre.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 29 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
268 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mardi 28 Novembre 2017
"L'enjeu de la donnée se situe essentiellement sur l'activité en ligne où nous comptons 1,3 million de joueurs"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; eCommerce
LONGUEUR: 1327 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la Data Privacy Officer livre son action au sujet des données des joueurs online et ses projets pour mieux connaître les joueurs en point de vente.
JDN. Quel est votre parcours ? Votre rôle en tant que data privacy officer ? Votre place dans l'organisation ? Qu'est-ce qui vous plait dans cette fonction ? Marine Ahuat Woodge est data privacy officer de La Française des Jeux (FDJ). © FDJ
Marine Ahuat Woodge. Je suis juriste, spécialisée dans les nouvelles technologies. J'ai démarré ma carrière dans ce domaine, notamment chez Unisys, puis chez Yahoo. Je suis entrée à La Française des Jeux en 2009 en tant que juriste au sein du département droit des affaires et informatique. Au moment où il a commencé à prendre de l'ampleur, le sujet de la protection des données m'a également été confié.
En février 2017, j'ai été désignée Correspondante informatiques et libertés (CIL) et nommée data privacy officer, en vue du Règlement général de protection des données (RGPD). Je suis rattachée directement à la directrice juridique groupe, qui est également secrétaire du conseil. Le travail de DPO a ceci d'intéressant qu'il nécessite de faire preuve de créativité, car c'est encore un domaine très nouveau et mouvant, et qu'il impose d'interagir de manière transversale avec tous les métiers de l'entreprise. Il amène aussi à échanger avec ses homologues dans les autres entreprises pour tirer parti de leur expérience et de leurs points de vue. Ainsi, je fais partie de l'Association française des correspondants aux données personnelles (AFCDP) où nous partageons des bonnes pratiques et nos visions des zones encore imprécises du texte pour avancer plus vite.
Quels sont les principaux enjeux liés à la donnée personnelle et à vos actions dans l'entreprise ?
Aujourd'hui, l'enjeu de la donnée se situe essentiellement sur l'activité en ligne où nous comptons 1,3 million de joueurs. Pour jouer, une personne doit ouvrir un compte et y déposer un nombre important d'informations d'ordre personnel. En tant qu'opérateur de jeux d'argent, nous dépendons du code monétaire et financier qui nous oblige à collecter des informations détaillées auprès des joueurs qui s'inscrivent en ligne : nous leur demandons, par exemple, une copie de leur pièce d'identité et nous devons vérifier sa conformité avec les informations fournies. Nous sommes aussi tenus d'informer très précisément les joueurs des conséquences du jeu d'argent.
Les joueurs ne connaissent pas toujours nos obligations et certains s'interrogent sur l'usage que nous pouvons faire de leurs données. Nous devons redoubler d'efforts de pédagogie pour les rassurer sur l'importance que nous accordons au respect de leurs données personnelles. La qualité de notre image de marque est en jeu.
Par ailleurs, FDJ compte quelque trente mille points de vente sur le territoire. Nous collectons encore assez peu de données à ce niveau. Mais notre plan stratégique FDJ 2024 a entre autres ambitions de développer la connaissance du client sur le point de vente et l'innovation dans nos actions marketing. Ce qui va nous amener là aussi à renforcer la pédagogie et la transparence ainsi que la protection (sécurité et confidentialité) des données personnelles de nos clients.
Quelles actions concrètes avez-vous menées depuis votre nomination ?
"Depuis 2011, nous formons les chefs de projet en présentiel pour qu'ils intègrent la protection des données personnelles dans les développements"
Mon action a démarré dès 2016 par une campagne de sensibilisation du Comex au sujet du Règlement. Nous avons proposé une gouvernance du projet à deux têtes car il s'agit d'un projet d'entreprise : une personne responsable de la connaissance clients au sein de la direction marketing clients et moi-même. Et nous avons commencé à étudier le texte et identifier des cas d'usage avec nos équipes.
Fin 2016, nous avons invité Geoffrey Delcroix, en charge de l'innovation et de la prospective à la Cnil, à venir expliquer le rôle de son entité au sein de la Cnil et présenter les principaux axes du RGPD. Cette réunion a été appréciée. Elle a permis aux quelque 70 participants de comprendre les enjeux autour de la donnée personnelle. Nous prévoyons de renouveler ce type d'expérience.
En mars 2017, nous avons mis en place l'organisation à même de déployer la conformité. Elle consiste en un écosystème formé du chief data officer, des deux pilotes du projet et d'une vingtaine de data steward officers, que nous allons former individuellement. Leur rôle sera de servir de relais pour diffuser les bonnes pratiques et faire remonter les sujets de questionnement. Nous nous appuyons déjà sur cet écosystème pour mettre en place les nouvelles procédures requises par le Règlement (notification des failles de sécurité, analyse d'impact, recueil de consentement, registre des traitements, etc.) et effectuer les développements informatiques nécessaires.
Sur un grand nombre de points, nous ne partons pas de zéro : depuis 2011, nous formons les chefs de projet en présentiel pour qu'ils intègrent la protection des données personnelles dans les développements (démarche de privacy by design, ndlr). Ils disposent également de kits de conformité pour les aider au quotidien sur des sujets tels que les cookies.
Et justement, comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Nous avons réussi à démontrer que l'on pouvait travailler en mode innovation ouverte, avec des start-up, tout en respectant la protection des données personnelles"
Pour toucher un public plus large, les campagnes en présentiel ne suffisent pas. Nous finalisons une série de six vidéos de sensibilisation aux différents thèmes du Règlement, tels que les notions de donnée personnelle, de responsabilité, de protection de la vie privée dès la conception. Elles seront accessibles sur notre intranet dédié à la conformité dès janvier 2018. Au-delà de ces vidéos, notre intranet met à disposition des fiches pratiques et des contenus de veille. Nous préparons, par ailleurs, un module d'e-learning en complément des vidéos qui sera obligatoire pour tous les collaborateurs.
L'innovation est un axe fort de l'entreprise. Comment arrivez-vous à marier protection des données privées et innovation ?
Nous avons réussi à démontrer que l'on pouvait travailler en mode innovation ouverte, avec des start-up, tout en respectant la protection des données personnelles. Nous nous sommes rapprochés de notre cellule open innovation et avons construit ensemble un nouveau contrat allégé, adapté aux caractéristiques des projets d'innovation (expérimentaux, courts, agiles, etc.) parce que concentré sur la maîtrise de deux risques majeurs uniquement. Ces risques sont la protection des données et la protection de la propriété intellectuelle. Ce contrat a été mis en ½uvre de manière opérationnelle et il fonctionne bien. Cet exemple témoigne de notre capacité à nous adapter aux évolutions du business sans compromettre la gestion des risques majeurs.
Quels sont vos chantiers à venir ?
Un chantier important est celui qui a trait à l'écoute du client, en tant qu'utilisateur de nos services en ligne. Nous ne savions pas, par exemple, comment les mentions obligatoires étaient lues, perçues et comprises par nos clients. Il y a quelques mois, nous avons organisé un focus groupe avec des clients pour les interroger sur ce sujet avec le support de l'entité expérience clients. En quelques heures seulement, nous avons capté un grand nombre d'informations sur leurs comportements, leurs préoccupations et leurs pratiques. Certaines se sont avérées très inattendues. Nous rapprocher de nos clients pour les écouter davantage nous aidera à comprendre leurs besoins, leurs pratiques et leurs usages. Et à imaginer des modes d'information sur la protection de données plus créatives et surtout plus adaptées à la réalité des usages. Nous prêchons pour une évolution de en ce sens.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 4 Décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
269 of 500 DOCUMENTS
Les Echos
mardi 28 novembre 2017
La jeune pousse ReachFive récompensée par des experts du retail
AUTEUR: ANAELLE GRONDIN
RUBRIQUE: ARTICLE; Comptes sans mot de passe et social login; Pg. 27 N°. 22581
LONGUEUR: 598 mots
ENCART: La pépite est spécialisée dans la gestion d'identités et la fluidification de l'expérience utilisateur sur les sites d'e-commerce.Elle a remporté le concours de start-up organisé par l'Institut du Commerce Connecté.
Jérémy Dallois jubile. Sa start-up ReachFive a été couronnée start-up de l'année au Connected Day, la semaine dernière, à Lille, dans le cadre d'un concours organisé par l'Institut du Commerce Connecté. « C'est l'un des plus beaux prix que l'on puisse espérer gagner, au vu du jury », souligne le patron de la jeune pousse parisienne.
Ce dernier a pitché devant quinze experts du commerce, parmi lesquels Michel Laborie, le directeur général de Cultura, Thierry Petit, le cofondateur de Showroomprive, ou encore Sébastien Badault, directeur général d'Alibaba France. Un jury présidé par Michel-Edouard Leclerc.
Comptes sans mot de passe et social login
ReachFive édite un logiciel de gestion d'identités en ligne à destination des marques. En faisant appel à la start-up, les e-commerçants ont la possibilité d'intégrer des outils comme la création d'un compte sans mot de passe à partir d'un téléphone ou d'une adresse e-mail. Un simple lien reçu par l'internaute lui permet de se connecter. « Lorsque vous achetez un produit en ligne et qu'il y a 15 champs à remplir et un mot de passe à choisir, vous risquez d'abandonner rapidement », commente Jérémy Dallois.
Sa société permet aussi aux marques d'avoir sur leur site du social login (les internautes créent un compte via Facebook, Google ou un autre réseau social). Ce qui permet notamment à ReachFive de collecter des données - avec le consentement des utilisateurs, insiste son patron - pour permettre aux marques de mieux segmenter leur offre et de s'adresser à leurs clients. « Un premier pas vers les offres personnalisées », indique Jérémy Dallois, qui souligne que ses outils sont conformes auRèglement général sur la protection des données (RGPD) de l'Union européenne, qui entrera en vigueur en mai 2018.
Créé en 2013, ReachFive a commencé à commercialiser son logiciel début 2015. La start-up revendique aujourd'hui plus d'une quarantaine de clients en France, parmi lesquels SFR, Boulanger, Etam, Engie et Lacoste. « On nous sollicite parce que notre solution fluidifie le parcours client et améliore considérablement pour certains le taux de conversion », affirme le startuppeur.
Sa société, installée dans le 9e arrondissement de Paris, compte plus d'une vingtaine de collaborateurs. L'équipe a quadruplé cette année grâce à un tour de table de 2 millions d'euros réalisé auprès du club d'investisseurs en capital-innovation luxembourgeois Takara Investment, de plusieurs business angels et de ZTP, accélérateur affilié à la famille Mulliez. L'entreprise avait levé 450.000 euros en amorçage en 2015, auprès de Takara Investment notamment.
Déploiement à l'international en 2018
ReachFive se rémunère grâce à un abonnement annuel. « Certains clients signent des contrats sur 24 ou 36 mois », précise son fondateur, sans révéler le montant des revenus de sa société.
Aujourd'hui, les investissements se font en priorité en R&D. « Notre logiciel n'a de sens que si le produit évolue car les besoins des clients évoluent, explique Jérémy Dallois. Demain, les marques seront de plus en plus en interaction avec des bots et objets connectés. Derrière, il faut que l'on soit en mesure d'identifier les utilisateurs. » Le fondateur de ReachFive glisse par ailleurs qu'il est en train de préparer le déploiement de son service à l'international pour 2018, avec en ligne de mire l'Italie, l'Espagne, l'Allemagne et le Royaume-Uni, pour commencer.
Voir aussi:
[09/06/2017] Les acheteurs de Showroomprive évaluent la rentabilité avant de décider
Voir aussi:
[21/11/2017] Le e-commerce devrait progresser de 13 % à Noël
DATE-CHARGEMENT: 28 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
270 of 500 DOCUMENTS
Economie Matin
27 novembre 2017 01:04 PM GMT
L'avenir des métiers de la data repose sur le respect du consommateur
LONGUEUR: 820 mots
Les données des consommateurs sont très précieuses pour les marques et entreprises. A l'ère du tout digital et de la navigation sur internet tracée grâce aux cookies, elles ont à leur disposition un nombre incroyable d'informations permettant de connaître leur profil, leurs habitudes et leurs besoins. Néanmoins, la question du respect des données est au coeur des préoccupations et des débats, aussi bien chez les consommateurs qu'au sein des entreprises et des institutions. Selon Hervé Malinge, Hervé Malinge, Directeur Général de Makazi, l'avenir des organisations qui collectent et exploitent des données repose sur le respect du consommateur et donc de ses informations personnelles, peu importe le secteur d'activité et quelle que soit la finalité : " Tout est en train de s'accélérer alors que nous nous rapprochons de 2018, une année qui marquera un virage stratégique pour les entreprises.
En effet, en mai prochain, le Règlement Général sur la Protection des données (RGPD) entrera en vigueur dans le but de renforcer et d'homogénéiser la sécurisation des données sensibles et personnelles des consommateurs au sein de l'UE. A ce titre, les entreprises, et leurs éventuels sous-traitants, devront clairement informer les internautes de l'usage qui sera fait de leurs données personnelles, et obtenir pour cela leur accord explicite. De plus, la Commission Européenne envisage également de nouvelles mesures au sein de son règlement ePrivacy lié à la protection de la vie privée en ligne, avec un renforcement du consentement de l'internaute avant toute collecte de ses données. Outre ces mesures législatives à intégrer, les entreprises sont de plus en plus naturellement dans cette logique de meilleur respect du consommateur et multiplient les initiatives dans ce sens, pour plus de transparence et de confiance. C'est le cas par exemple d'Apple qui a récemment décidé de limiter les possibilités de traçage par les cookies, avec une durée d'usage à des fins de ciblage commercial limitée à 24 heures, et leur suppression au bout de 30 jours pour rendre la publicité moins intrusive. Des mesures qui vont très certainement se généraliser, car désormais, une entreprise qui ne respecte pas les données de ses clients n'a aucune chance de survivre ! En effet, les inquiétudes des consommateurs grandissent en corrélation avec la digitalisation. Outre les utilisations parfois abusives, voire frauduleuses lors de cyberattaques notamment, il est pénible de se sentir tracké et de recevoir des publicités basées sur son historique de navigation alors que l'on n'a communiqué aucune information. Par exemple, vous surfez pour la première fois sur un site d'annonces à la recherche de la maison de vos rêves. Dans les minutes et jours qui suivent, vous recevez un appel, un email et un sms de votre fournisseur internet sur les démarches à effectuer en cas de déménagement. Ces messages, déclenchés suite à votre première visite et sans une analyse correcte de vos données, sont très intrusifs alors que vous n'en êtes qu'au début de votre recherche, et ne répondent pas du tout à vos besoins actuels. Dès lors, vous perdez confiance dans le site d'annonces et votre fournisseur qui, à un moment donné, ont partagé vos informations. Vous avez la désagréable impression d'être "harcelé" et que "Big Brother" est dans votre salon, d'autant plus si le moment est mal choisi ! Ainsi, ce que l'on entend également par "respect des données du consommateur", c'est la maîtrise de la pression marketing. Si un internaute reçoit de multiples contenus qui ne l'intéressent pas, il risque de développer une aversion pour la marque qui lui envoie des messages inappropriés. Son expérience utilisateur sera alors considérablement dégradée. Pour gagner la confiance des clients, mais également asseoir leur crédibilité et leur image, les entreprises doivent disposer de toutes les informations sur les consommateurs et réconcilier les données, à la fois offline et online. Cela leur permettra de déterminer leur appétence pour les messages ou offres, et leur préférence en matière de canal de contact. Plus de transparence, c'est ce qu'attendent aujourd'hui les clients et les prospects. La législation évolue dans cette direction et 2018 marquera un tournant pour la data dans le droit européen, sous peine de sanction pour les entreprises qui ne le respecteront pas. En marge de ces mesures, il est primordial que les organisations soient transparentes et respectueuses dans l'usage et la confidentialité des données des consommateurs pour réinstaurer la confiance avec eux. Ainsi, la méfiance doit laisser place à la confiance, nécessaire pour établir une relation client de qualité et susciter l'engagement. Sans elle, rien n'est possible. Le respect du consommateur, et donc de ses informations sensibles et personnelles, doit donc être une priorité pour toutes les organisations, au-delà de la contrainte légale ! "
DATE-CHARGEMENT: 29 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
271 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 27 Novembre 2017
"Je forme environ 200 agents par an"
AUTEUR: Xavier Biseul
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 1354 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la CIL du département des Alpes-Maritimes détaille son action au sein de la collectivité locale.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être CIL ? Quelle est votre place dans l'organisation du département des Alpes-Maritimes, de quelle direction dépendez-vous ? Virginie Langlet est CIL du département des Alpes-Maritimes. © Alpes-Maritimes
Virginie Langlet. Après un bachelor de marketing obtenu aux Etats-Unis, puis un mastère spécialisé en intelligence économique et management de projets au Skema Business School, j'ai démarré ma carrière comme chef de projet MOA chez Pro BTP. Je suis ensuite passée par différentes SSII (Alten, Astek, Capgemini) en tant que consultante et commerciale senior avant d'intégrer, en 2008, le département des Alpes-Maritimes en qualité de responsable assurance qualité et méthode.
A ce titre, j'ai été rapidement amenée à travailler sur le sujet de la protection des données. J'ai été nommée officiellement CIL en 2011. A cette occasion, j'ai décidé de compléter ma formation par le diplôme universitaire du CIL de l'université Paris Ouest Nanterre La Défense. Dans le prolongement de ma fonction actuelle, je serai amenée à devenir DPO. Cette nomination sera possible début 2018, période à laquelle la Cnil mettra à disposition le formulaire de désignation du DPO en ligne.
Conformément à l'article 46 du décret n°2005-1309 du 20 octobre 2005, j'exerce mes fonctions directement auprès du président du conseil départemental, Charles-Ange Ginesy, et suis mise à disposition de la Mission d'inspection de contrôle et d'audit (MICA) elle-même rattachée au président. Ce rattachement hiérarchique au plus haut niveau est indispensable. Cela permet d'avoir un accès facile à tous les services départementaux. Sur le plan déontologique, cette position évite tout conflit d'intérêts.
J'encadre un agent à plein de temps. Je m'appuie également sur les chefs de service qui sont mes relais au niveau des différents services. Il s'agit de les rendre les plus autonomes possible sur les sujets de la protection des données personnelles afin qu'ils puissent gérer aisément et rapidement les problématiques auxquelles ils sont confrontés.
Quels sont les principaux enjeux de votre action au sein du département des Alpes-Maritimes ?
Avec 4 500 agents, le département des Alpes-Maritimes représente une importante collectivité territoriale au service de plus d'un million d'usagers. L'un des principaux enjeux concerne la transparence de l'information donnée au public sur l'usage et la protection de leurs données. Les administrés doivent être informés, entre autres, sur les moyens de collecte de ces données, la finalité poursuivie, la durée de conservation et les destinataires. L'exercice de leurs droits doit être facilité et ne pas relever du parcours du combattant.
La collectivité se doit de répondre dans les temps impartis sachant que les délais légaux diffèrent en fonction de la nature des demandes. Il est de 48 heures à 5 jours pour une demande d'accès à un dossier médical, d'un à deux mois pour une requête plus classique en fonction de la loi visée (Loi informatique et libertés ou CADA). Nous avons mis en place des métriques pour nous assurer que ces délais sont respectés. En tant que CIL, les usagers peuvent me saisir par courrier, téléphone ou e-mail. Des coordonnées génériques du CIL figurent également dans les mentions légales du site institutionnel.
Un autre enjeu porte, bien sûr, sur la sécurité physique et logique des données personnelles. Une préoccupation permanente menée en collaboration étroite avec le RSSI, la direction des services numériques (sécurité logique) et le service sécurité et sureté (sécurité physique). Il s'agit également de sensibiliser les sous-traitants du département à leurs obligations réglementaires concernant la protection des données. Ce qui passe par la mise à jour des marchés publics et des modèles de convention.
"J'ai commencé par un audit qui a duré environ 6 mois"
Quelles premières mesures avez-vous prises à votre arrivée ?
J'ai commencé par un audit qui a duré environ 6 mois. L'objectif était de dresser un état des lieux des formalités déposées auprès de la Cnil par la collectivité. A cette occasion, j'ai rencontré l'ensemble des services départementaux, soit plus d'une centaine de personnes. En vue de ces rendez-vous un questionnaire leur avait été adressé leur demandant une description de leurs métiers, de leurs traitements et des données collectées.
Cet audit a permis de mesurer l'écart entre l'état des formalités réalisées auprès de la Cnil et les exigences de conformité, il a ensuite été possible de définir un plan d'actions permettant la mise en conformité de la collectivité.
Concernant la mission du CIL, il n'a pas été nécessaire d'expliquer aux interlocuteurs ce que recouvre la fonction. Ma nomination a été assortie de la publication d'une lettre de mission qui cadrait mon rôle, les modalités et le périmètre d'intervention. Aujourd'hui, les réflexes sont pris. Je suis avertie dès qu'un projet est lancé.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
Le département a reçu le label formation de la Cnil qui distingue la qualité des formations dispensées en interne. Dans le prolongement de ce label, je forme environ 200 agents chaque année.
A côté du cursus de base sur les fondamentaux de la réglementation, je dispense des formations spécifiques à un métier. Nous avons également été le premier organisme à recevoir, en octobre 2015, le label "Gouvernance informatique et libertés". Délivré également par la Cnil, il certifie la bonne application des mesures et règles en matière de gestion des données à caractère personnel et a permis d'anticiper le RGPD.
"Je note une inflation du nombre de projets, notamment ceux ayant trait à la gestion de la relation avec l'usager"
Quelles sont les actions spécifiques à une collectivité locale telle que le département des Alpes-Maritimes ?
Il s'agit de bien maîtriser le droit public, l'écosystème juridique territorial et notamment les spécificités en matière de marchés publics et de délégations de service public (DSP) pour la chaîne de responsabilité. Je suis aussi amenée à travailler avec toutes les fonctions support transverses dont bien sûr la direction des services numériques, la direction des affaires juridiques mais aussi les archives départementales pour les modalités de conservation des données et des documents.
Je note une inflation du nombre de projets, notamment ceux ayant trait à la gestion de la relation avec l'usager. Ce type de projet touche tous les domaines du scolaire, en passant par la solidarité, au médical ou médico-social. Je gère environ 70 projets par an. Ils sont de tailles très différentes. Il s'agit, par exemple, de la réponse à une demande complexe de droit d'accès d'un usager, de l'affichage légal dans les lieux accueillant du public ou de la mise en place d'un chantier de dématérialisation de grande ampleur.
Quels sont vos principaux chantiers à venir ?
Je mène actuellement un travail de structuration de la documentation. Ce travail vise à documenter la conformité du traitement, que celle-ci soit légale ou basée sur le principe de légitimité ou encore du consentement.
Il s'agit également de poursuivre la révision des marchés publics. Un éditeur de solution en mode SaaS n'a pas la même implication en termes de protection des données personnelle qu'un titulaire de marché qui n'exploiterait pas les données ou qui n'effectuerait que de la maintenance de temps à autre. Je souhaite également augmenter la fréquence des audits et des études d'impacts.
Administrateur de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP), j'anime par ailleurs un groupe de travail national au sein de l'Assemblée des départements de France (ADF) visant à aider les 102 départements à se mettre en conformité avec le RGPD. Ce groupe de travail résulte de la convention signée entre l'ADF et la Cnil pour trois ans.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 27 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
272 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 27 Novembre 2017
Banques et fintech : le calendrier de leur entente forcée
AUTEUR: Charlie Perreau
RUBRIQUE: ACTUALITÉS; Banque - assurance
LONGUEUR: 1328 mots
ENCART: L'entrée en vigueur le 13 janvier 2018 de la directive européenne sur les services de paiement, plus connue sous le sigle DSP2, n'est qu'un début. D'autres échéances sont à venir.
En 2018, les institutions financières devront être sur tous les fronts réglementaires. Révision de la directive sur les marchés d'instruments financiers (MiFID 2), règlement européen sur la protection des données (RGPD), révision de la directive européenne sur les services de paiement (DSP2)... Cette dernière qui entrera en vigueur le 13 janvier 2018 obligera les banques à partager les données de leurs clients à des acteurs tiers, dont les fintech. Mais cette date est plutôt symbolique. Les parties concernées attendent de pied ferme une autre échéance : la publication des normes techniques réglementaires (RTS) qui doit être rendue publique par la Commission européenne dans les jours à venir.
Ces standards sont au c½ur de la DSP2 car ils déterminent la façon dont les fintech se connecteront aux banques. A ce jour, elles utilisent le screen scraping, une technique qui permet d'accéder aux données d'un client d'une banque en utilisant ses codes d'accès. Cette méthode est décriée par les banques car jugée peu sécurisée. Sans grande surprise, les RTS imposeront l'utilisation d'API, une interface de programmation qui permet à des applications de communiquer entre elles. Ces RTS ne seront pas applicables dans l'immédiat. Ils doivent encore être votés par le Parlement européen dans un délai maximal de trois mois. Et peuvent donc être rejetés. Peu enclines à partager leurs données, "les banques vont tout faire pour que le texte ne passe pas. Du coup, on repartirait de zéro et cela prendrait plusieurs mois pour publier de nouveaux RTS", s'inquiète Joan Burkovic, CEO de l'agrégateur Bankin'. Si les RTS sont finalement votés, il faudra encore attendre 18 mois pour leur entrée en vigueur, soit à en septembre 2019.
Janvier 2018 : décrocher un agrément
Les agrégateurs et les initiateurs de paiement (des entreprises qui fournissent des solutions de paiement pour l'e-commerce) doivent quant à eux être conformes sur plusieurs points pour le 13 janvier 2018. Tout d'abord, ils doivent obtenir un agrément d'établissement de paiement auprès de leur régulateur local. Depuis plusieurs mois, les fintech françaises concernées multiplient les échanges avec le régulateur. "Nous avons soumis notre dossier à l'ACPR. Normalement, nous serons des établissements de paiement dès janvier 2018. Par conséquent, nous devrons faire des reporting, nous aurons des procédures particulières... C'est assez lourd mais les potentiels partenaires et les utilisateurs qui hésitaient encore à s'inscrire sur notre application car ils considéraient notre activité illégale et non sécurisée vont être rassurés", estime Joan Burkovic. Côté banques, pas besoin de faire de dossiers puisqu'elles ont déjà des licences bancaires.
"Nous espérons que les banques iront plus vite que l'horizon 2019 car nous voulons tester leurs API avant"
Début 2018, les tiers de paiement pourront accéder aux données de paiement des consommateurs par le screen scraping ou par API (si la banque en propose déjà). "Nous continuerons à opérer de la même façon mais la sécurité sera reconnue puisque nous seront régulés. La seule différence est que nous serons désormais authentifiés par les banques alors qu'aujourd'hui nous accédons aux données de façon anonyme", précise Joan Burkovic.
La DSP2 imposera quelques adaptations mineures pour les deux camps. "Par exemple, nous devons mettre en place des procédures pour permettre des remboursements à J+1 en cas d'incident de paiement sauf si le TPP (tiers de paiement, ndlr) est responsable. Il doit alors rembourser immédiatement la banque ", illustre Franck Oniga, directeur marketing de La Banque Postale.
Janvier 2018 à septembre-2019 : les API en test
C'est durant les 18 mois qui suivront le vote du Parlement que les choses sérieuses commenceront. Les banques auront ce laps de temps pour lancer leurs API afin que les fintech s'y connectent. "Ce délai de 18 mois est suffisant. Nous arriverons facilement à nous adapter aux disponibilités de l'API", estime Bruno Van Haetsdaele, CEO de l'agrégateur Linxo. "Nous espérons que les banques iront plus vite que l'horizon 2019 car nous voulons tester leurs API avant", espère de son côté Jérôme Traisnel, CEO de Slimpay, spécialiste du paiement par prélèvement.
"Rien n'empêcherait La Banque Postale de brancher ses API à des systèmes de réservation d'hôtel"
Pour les banques, ces 18 mois ne seront pas de tout repos. "Nous allons procéder à "l'APIsation" de plusieurs systèmes d'informations. Cela va nous permettre de renforcer nos applicatifs et de sécuriser les nouveaux acteurs qui accèdent au compte", souligne Franck Oniga. La Banque Postale envisage de donner accès à son API de paiement le plus rapidement possible, sans donner de date précise. Elle étudie des pistes pour se lancer dans l'initiation de paiement ou dans l'agrégation. "Rien ne nous empêcherait de brancher nos API à des systèmes de réservation d'hôtel. Par exemple, il serait possible de réserver une chambre d'hôtel depuis une banque en ligne", imagine le dirigeant.
De leur côté, les fintech pourront utiliser les API au fur et à mesure qu'elles apparaîtront sur le marché. "Nous avons six mois pour tester chaque API. Si ces tests ne sont pas concluants, elles pourront être rejetées par une commission qui rassemble banques et fintech au niveau européen. Dans ce cas, nous continuerons à faire du screen scraping", explique Joan Burkovic.
Septembre 2019 : le début des API
Si les API des banques sont disponibles en septembre 2019, les fintech pourront s'y connecter et profiter de plus d'avantages qu'avec le screen scraping. "Les API vont nous permettre d'accéder à des informations du compte qui peuvent être pertinentes. Par exemple, quand quelqu'un paiera avec une carte bancaire, on pourra créer un automatisme pour vérifier s'il a suffisamment d'argent sur son compte. Cela nous permettra de diminuer le risque de non-paiement", illustre le patron de Slimpay. "Si les API fonctionnent, et ce dans toute l'Europe, nous pourrons connecter plus de banques dans plus de pays et fournir un service plus stable. De plus, l'API est un gain de temps énorme. On diviserait par quatre le temps de développement", se réjouit Joan Burkovic.
"On trouve que l'API est une bonne technologie mais à condition qu'elles nous permettent de faire ce qu'on fait actuellement"
Ce système d'API a cependant deux inconvénients pour les fintech. A commencer par le contenu des API elles-mêmes. "Avec le screen scraping, on peut tout faire. On ne sait pas si avec les API on pourra accéder à un portefeuille d'informations pertinentes", note Jérôme Traisnel. "On trouve que l'API est une bonne technologie mais à condition qu'elles nous permettent de faire ce qu'on fait actuellement. Nous devons être sûr que les données soient à jour", renchérit le patron de Linxo.
Deuxième bémol : les API ne concerneront que les données de paiement. "Pour nos services le paiement n'est pas suffisant. Nous avons besoin d'avoir accès aux comptes d'épargne, aux informations relatives aux crédits...", regrette Bruno Van Haetsdaele. "En général, 80% des comptes connectés sur les agrégateurs ne sont pas des comptes de paiement. On va donc continuer à faire du screen scraping non authentifié pour les autres comptes. On va devoir se battre point par point. Cela va encore durer des dizaines d'années", estime Joan Burkovic.
La Banque Postale a de son côté prévu d'étendre son API à d'autres données que le paiement. "Nous voulons APIser l'ensemble de nos chaînes. Cela nous permettra de créer des passerelles plus directes avec nos propres filiales et créer plus de valeur avec les fintech, qui sont des partenaires", indique Franck Oniga. "Notre objectif est de tout APIser à l'été 2019", conclut-il.
Et aussi : DSP2 : les géants de la tech placent leurs pions
La directive européenne sur les services de paiement qui entrera en vigueur en janvier 2018 permettra à certains de renforcer l'authentification en ligne et à d'autres de collecter plus de données.
DATE-CHARGEMENT: 12 Janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
273 of 500 DOCUMENTS
Les Echos
lundi 27 novembre 2017
Données : la nouvelle règle ne fait pas que des malheureux
AUTEUR: FLORIAN DEBES
RUBRIQUE: IDEES; Pg. 10 N°. 22580
LONGUEUR: 975 mots
ENCART: La nouvelle réglementation européenne sur les données entrera en vigueur dans six mois. Plus contraignante et assortie d'amendes très lourdes, elle inquiète de nombreuses entreprises. Mais, paradoxalement, les géants américains du numérique ne devraient pas trop en souffrir.
L'échéance approche à grands pas, et c'est un événement mondial. Dans six mois, le Règlement général sur la protection des données (RGPD) aura force de loi. Le 25 mai 2018, les entreprises européennes, mais aussi toutes celles du monde entier qui collectent des informations permettant d'identifier un citoyen européen devront se plier à de nouvelles exigences. Responsabilisées, elles devront pouvoir justifier à tout moment d'un usage raisonné de ces « data », chez elles et chez leurs sous-traitants. Les sociétés contrevenantes s'exposeront à une amende égale à 4 % de leur chiffre d'affaires mondial. La sanction, considérablement alourdie par rapport à la précédente directive en vigueur, fait pâlir plus d'un patron.
Adopté par le Parlement européen en avril 2016, le désormais fameux « RGPD » donnait deux ans aux entreprises et aux administrations pour se conformer à ses obligations et ses préconisations. Par exemple, les entreprises devront mener une étude d'impact à chaque fois qu'elles envisageront un traitement de données à risque élevé. Le texte demande aussi aux sociétés manipulant beaucoup de données à caractère personnel de tenir un registre recensant ligne à ligne ces informations, ainsi que les traitements qui y sont appliqués : quel croisement de fichiers ? dans quel but ?
Mais la tâche est souvent plus ardue qu'il n'y paraît. Chargés de faire le ménage et de supprimer des données recueillies sans le consentement explicite des principaux intéressés, les informaticiens se grattent longtemps la tête, de peur que la disparition d'un fichier ne fasse bugger tout un système. Pour ne rien arranger, prendre ces mesures coûte cher : entre 30 et 50 millions d'euros pour un groupe du CAC 40, selon des études Wavestone ou Sia Partners.
Toutes ces contraintes pour quoi ? « Dans ce nouveau monde, il faut trouver un juste équilibre qui permette à la fois de faire émerger de nouveaux services utiles basés sur l'utilisation de nos données personnelles, mais aussi de veiller à la protection de ces mêmes données personnelles pour garantir les libertés », expliquait récemment Isabelle Falque-Pierrotin, la patronne de la Commission nationale de l'informatique et des libertés (CNIL) dans une interview aux « Echos ».
Tout comme l'Europe entend se défendre des pratiques fiscales des géants mondiaux du numérique, le continent des Lumières entend se prémunir de leur vision très permissive en matière d'exploitation des données. Mais rien n'est encore joué sur ce point. Très actifs auprès des parlementaires européens au moment de l'écriture du RGPD, les juristes de ces sociétés américaines ont très tôt compris les enjeux et... repéré de possibles arrangements.
Par exemple, elles n'auront pas forcément besoin de demander le consentement des citoyens européens pour traiter leurs données. Le texte les y autorisera si elles justifient d'un « intérêt légitime ». Or « la prospection commerciale est considérée comme un intérêt légitime par le RGPD », critique l'avocat spécialisé Olivier Iteanu. Une formulation qui fait le bonheur des acteurs de la publicité numérique. Seul garde-fou à cette notion bien vague, cet intérêt ne doit pas prévaloir sur les droits fondamentaux de l'individu, comme le droit à la vie privée.
Sur cette base, Google, Facebook, Apple, Amazon et les autres grands éditeurs de logiciels et de services Internet se sont mis en ordre de bataille. Chez Microsoft, pas moins de 300 ingénieurs travaillent pour rendre la firme conforme aux yeux de Bruxelles. Résultat, les mauvais élèves du passé se présentent aujourd'hui comme des modèles qui peuvent aider leurs clients à franchir le pas.
Certes, la menace d'une méga-amende pèse sur les géants du numérique hors-la-loi. Le nouveau texte prévoit de pouvoir infliger à Facebook une amende maximum de 860 millions d'euros (4 % de son dernier chiffre d'affaires annuel). C'est bien davantage que les 150.000 euros de sanction prononcés en mai dernier pour manquement à la loi Informatique et Libertés. Mais encore faudra-t-il que les organismes de régulation aient les moyens, notamment humains, de mener leurs contrôles, y compris outre-Atlantique.
En France, le gendarme sera la CNIL associée à ses pairs européens. Rassurante, elle précise que le couperet de l'amende ne tombera pas, au début, sur les aspects les plus nouveaux du texte. La CNIL voit au-delà du marché de la mise en conformité, qui a explosé cette année. Dès maintenant, juristes, sociétés de cybersécurité et éditeurs de logiciels de classification des données profitent de la peur de l'amende ; tandis que les assureurs se préparent. A partir du 25 mai 2018, des entrepreneurs pourraient, dans l'esprit du régulateur, créer des modèles économiques s'appuyant sur la confiance des internautes en matière de données personnelles. L'Afnor planche même sur une certification en ce sens.
Par exemple, le nouveau droit à la portabilité des données (un internaute peut demander les données le concernant à une entreprise afin de les communiquer à une autre) doit rendre accessibles des données de qualité afin d'en tirer plus de valeur. Déjà, des sociétés comme Qwant, le moteur de recherche alternatif à Google, ou Cozy Cloud, un hébergeur de fichiers en ligne, espèrent qu'être nés du bon côté de la loi leur assurera une crédibilité plus forte par rapport aux nouveaux convertis. Ils pourraient faire des émules. Aux consommateurs européens de choisir leur camp.
Les points à retenir
La nouvelle réglementation européenne sur les données personnelles entre en vigueur dans six mois.
Cette « RGPD » représente un casse-tête technique et un vrai coût pour les entreprises.
Ne pas respecter les nouvelles règles du jeu pourrait coûter très cher (jusqu'à 4% du chiffre d'affaires mondial d'un groupe).
Savoir en tirer parti pourrait aussi représenter une véritable opportunité.
DATE-CHARGEMENT: 27 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
274 of 500 DOCUMENTS
L'AGEFI Actifs
novembre 24 2017
Intermédiaires et conseils d'une même voix;
Représentation en assurance
AUTEUR: Nicolas Ducros
RUBRIQUE: HOMMES ET MÉTIERS; Pg.12
LONGUEUR: 1447 words
Bertrand de Surmont, Président,CSCA & Christophe Hautbourg, Directeur général, CSCA
La récente association nationale des conseils et des intermédiaires d'assurances (Ancia) a été conçue pour la promotion et la défense des intérêts de ces professionnels et de leurs clients.
Les fondateurs. Cette association a été créée en 2015 par l'Association nationale des conseils financiers (Anacofi) et la Chambre syndicale des courtiers d'assurances (CSCA). La première veille aux intérêts des conseils en gestion de patrimoine, des courtiers en assurance vie, en opérations de banque et des conseils en développement d'entreprises (lire l'encadré), ce qui lui confère une légitimité particulière pour s'exprimer sur les sujets de Place. La seconde, organisation historique du courtage d'assurances annonce représenter plus de 70 % du chiffre d'affaires de la profession. En nombre d'entreprises représentées, elle détient la majorité absolue au niveau de la branche professionnelle.
Nouveaux arrivés. Le 17 octobre, l'Ancia a intégré deux nouveaux membres : Planète Courtier, syndicat qui s'affiche comme le représentant de toutes les typologies de courtiers d'assurance, et la Fédération nationale des syndicats d'agents généraux (Agea), qui est en charge de défendre le modèle des agents généraux et de ses adhérents à titre individuel. Elle compte 7.500 d'adhérents sur les 12.000 agents généraux d'assurances en activité, qui emploient 24.000 collaborateurs. Rassemblant 30.000 entreprises et 75.000 salariés, cette réunion d'associations est loin d'être un projet anodin pour ses membres que l'on avait quittés en plein débat sur la représentativité de leur organisation respective (L'Agefi Actifs, n°655, p.23).
Tenir sa place dans l'élaboration de la règlementation. Ces acteurs ambitionnent de faire entendre leurs voix sur l'élaboration des règlementations communautaires et françaises, comme la directive sur la distribution d'assurance, MIF II, mais aussi les règlements Priip ou RGPD sur l'utilisation des données personnelles. Ces membres ont ainsi adopté des positions communes avec d'autres instances représentatives sur le report de certains de ces textes, ou encore sur la mise en oeuvre du prélèvement à la source.
Laurent Ouazana, Président, Planète Courtier
Renforcer l'intérêt de la syndication. Parallèlement, le lancement d'une association représentative élargie est l'occasion de rappeler l'intérêt de la syndication. « Trop peu de courtiers sont syndiqués, avance Laurent Ouazana, qui vient d'être réélu à la tête de Planète courtier. Nous sommes dans une profession qui se transforme et qui doit intégrer de nouvelles manières de conseiller le client. Par exemple, si de nombreux courtiers ne disposent pas encore d'un médiateur, c'est pourtant une obligation ! Il nous revient d'expliquer cette obligation, les sanctions qu'elle prévoit mais surtout son fondement ». Pour Bertrand de Surmont et Christophe Hautbourg, respectivement président et directeur général de la CSCA, il faut développer une offre de services à destination des membres, dédiée entre autres à la formation ou au recrutement, d'autant plus que l'adhésion au syndicat n'est pas obligatoire. Le partenariat avec la compagnie CFDP à compter du 1er janvier 2018, pour proposer un service de protection juridique, participe de cette démarche. La CSCA s'appuie aussi sur le think tank Intermedius, dont l'objectif est notamment de positionner la chambre sur des sujets prospectifs, comme l'avenir de l'intermédiation.
Quel leadership ? Si l'Ancia est censée permettre la mutualisation de moyens, elle garantit à chacune des organisations, via ses statuts et sa gouvernance, le respect de leurs spécificités. Laurent Ouazana assure que « chaque organisation professionnelle conserve son rôle et garde sa personnalité juridique. Le principe du veto a été retenu ». Du côté de la CSCA, on précise que « l'unanimité prévaut, ce qui n'empêche pas une certaine solidarité entre les organisations dans la prise de position sur des sujets moins
impactants pour les unes ou pour les autres ». Cette évolution témoigne-t-elle des prémisses d'une prise de position globalisée de leur part sur des sujets en devenir ? Certainement pas, à en croire les responsables de ces associations. Pour Laurent Ouazana, « il existe des sujets sur lesquels nous n'avons pas fait les mêmes choix. Par exemple, notre médiateur n'est pas le même et la typologie de nos adhérents non plus ».
Tenir son rôle dans la représentation patronale. Autre ambition : travailler à constituer l'intermédiation en assurances en une branche professionnelle autonome. Dans le viseur, figure la perspective initiée en 2014 (1) et complétée par la loi Travail en août 2016 d'un regroupement de 700 à 200 du nombre de branches professionnelles d'ici à trois ans. Des réflexions ont été engagées entre les différentes branches de l'Ancia en vue de faire des propositions au ministre. Une initiative que l'association entend ouvrir aux autres organisations du secteur du conseil et de l'intermédiation en assurances.
Grégoire Dupont, Directeur général, Agea
Reconnaissance officielle pour Planète Courtier. Du côté de la représentation patronale, Planète courtier a récemment été officiellement reconnu en qualité d'organisation professionnelle de la branche du courtage d'assurance. Plus précisément, un arrêté du 3 octobre 2017 (2) l'a consacré en qualité d'organisation professionnelle d'employeurs représentative dans la convention collective des entreprises de courtage d'assurances et/ou de réassurances. Cet arrêté fait suite aux résultats d'audience annoncés par le ministère du Travail, Planète courtier ayant franchi le seuil des 8 % requis (L'Agefi Actifs, n°655, p.23) par la loi de mars 2014 sur la réforme de la représentativité patronale. Le texte prévoit que pour être représentatives les organisations professionnelles doivent respecter des critères cumulatifs liés à leur poids, leur influence et leurs adhésions. Planète courtier siègera au sein des instances paritaires aux côtés de la CSCA, dont la représentativité a également été reconnue.
Les sujets associés à la représentation syndicale. Grégoire Dupont, le directeur général d'Agea, rappelle que « l'intermédiation en assurance est partagée entre une branche des salariés des agents généraux d'assurance et une branche des salariés des courtiers en assurances », ce qu'il regrette : « En nous poussant à regrouper la branche des agents à celle des courtiers, ce sont les sujets liés à la formation et à la mobilité des collaborateurs que nous pourrions appréhender en commun. Force est de reconnaître que sur ces sujets, la création d'une branche commune prendrait tout son sens ». Que se passerait-il justement en l'absence d'une branche autonome ? Pour Bertrand de Surmont et Christophe Hautbourg, « le risque serait de tomber sur la convention collective de la banque-assurance, ce qui se traduirait par un impact conséquent sur le compte d'exploitation des
cabinets de courtage » .
(1) Loi du 5 mars 2014 relative à la formation professionnelle, à l'emploi et à la démocratie sociale
(2) Journal officiel, 14 octobre 2017
Encadré
Le haut de bilan fait aussi débat
Les conseillers et les intermédiaires en assurances ne sont pas les seuls à se positionner sur leur représentativité. Il en va aussi des conseils en haut de bilan dont l'activité porte - en résumé - sur le conseil au financement des entreprises. A leur attention, cet été, l'Autorité des marchés financiers (AMF) a retenu, à l'issue d'une consultation publique, la proposition d'un exercice libre de l'activité. Sur ce sujet, Benoist Lombard et David Charlet, en charge de la CNCGP pour l'un et de l'Anacofi pour l'autre, ont défendu leurs points de vue lors du salon Patrimonia en septembre dernier.
Benoist Lombard : « Le problème en tant que CIF est la distinction entre les CIF CGP et les CIF haut de bilan. Le collège de l'AMF a décidé qu'il n'y aurait plus de CIF haut de bilan car il a décidé l'exercice libre de la profession de haut de bilan. On a désormais une population de CIF consacrée par les seuls CGP. On passe d'un statut de CIF CGP à un statut de CGP CIF. »
David Charlet : « Dire que les CIF haut de bilan n'existeront plus est un mensonge. Ce qui n'existera plus, c'est la pratique de certains qui ne pourront plus venir dans le statut de CIF pour faire certaines prestations. L'AMF a fait une ré-explication du droit pour dire que certains n'auraient jamais dû y être : à l'image de la prestation de pure fusion acquisition. Tous les conseils au financement d'entreprises ne seront pas exclus du CIF. Au final, 100 % des CIF ne seront pas CGP, il restera les CIF conseils aux institutionnels. »
DATE-CHARGEMENT: 31 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 L'AGEFI
Tous droits réservés
275 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 24 Novembre 2017
"Il faut accélérer les programmes universitaires de formation à la protection des données personnelles"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Télécoms
LONGUEUR: 940 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la DPO du groupe Orange évoque son action et ses projets au sein de l'opérateur historique.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation d'Orange et de quelle direction dépendez-vous ? Patricia Le Large est data protection officer (DPO) du groupe Orange © Orange
Patricia Le Large. Je suis juriste de formation. Après avoir démarré ma carrière à l'Autorité de régulation des télécommunications (ART) à l'époque des négociations sur les premières directives européennes en matière de protection des données personnelles, j'ai rejoint France Télécom en 1996 pour travailler sur des questions de droit de la concurrence, droit de la distribution ou droit de la consommation. Je suis également intervenue pour Wanadoo [alors FAI de France Télécom, ndlr]. Cela fait plus de six ans maintenant que je travaille exclusivement sur la protection des données personnelles, notamment en tant que correspondante informatique et liberté (CIL) du groupe (Orange SA, Orange Caraïbes, Orange Bank). Depuis 2016, je suis Data protection officer (DPO) du groupe. Je suis rattachée à Nicolas Guérin, le directeur juridique du groupe. Je m'appuie sur quelques collaborateurs directs ainsi que sur un réseau de juristes dans divers pays, dont une vingtaine de correspondants dans l'Hexagone.
Quels sont les principaux enjeux de votre action au sein d'Orange ?
Mettre en place et se préparer le mieux possible à l'entrée en vigueur du Règlement général sur la protection des données (RGDP) qui est très structurant sur l'ensemble du périmètre qui est le mien. Je suis notamment chargée de coordonner l'ensemble des DPO du groupe, de conseiller et accompagner les diverses équipes dans la mise en place de cette conformité. Pour le DPO du groupe, ce serait parfois "mission impossible" si nous ne disposions pas de ce réseau de correspondants multidisciplinaires. Tout cela consiste en un mixe entre sécurité informatique, consommation, marketing de nos offres, etc. Chacun apporte son expertise afin de mutualiser les bonnes pratiques et de structurer son approche sachant que cette dernière n'est pas la même au sein d'Orange Business Services (OBS) que dans le B2C, par exemple. De ce point de vue, le DPO du groupe est à la fois un chef d'orchestre et une vigie.
Quelles premières mesures avez-vous prises à votre arrivée ?
J'étais déjà correspondante informatique et liberté (CIL), ce qui m'a permis de prioriser mon approche en fonction de l'élaboration du RGPD, notamment entre 2012 et 2016. Il faut bien voir que le RGPD, ce sont 99 articles répartis sur 88 pages ! Cela suppose de s'approprier véritablement ce règlement dans toute sa complexité. Ensuite, c'est aussi une réelle opportunité puisque ce texte est européen ce qui nous oblige à avoir une approche commune et à harmoniser nos pratiques dans les différents pays d'Europe où nous sommes implantés.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"J'effectue une à deux interventions mensuelles dans les différents comités de direction des entités opérationnelles du groupe"
Ce sujet est très présent au sein d'Orange, toutes équipes confondues. Il y a aussi beaucoup de pédagogie à faire en matière de protection des données. J'effectue ainsi une à deux interventions mensuelles dans les différents comités de direction des entités opérationnelles du groupe. Nous avons également un intranet spécifique, des publications internes relatives à ces questions, des réunions avec les membres du comité exécutif, etc. Je suis sollicitée toutes les semaines et j'y accorde beaucoup d'importance pour que l'ensemble des équipes acquièrent les bons réflexes.
Quel usage spécifique faites-vous des données personnelles dont Orange dispose ?
Orange est en contact quotidien avec ses clients et cela implique systématiquement un usage de leurs données personnelles : d'abord pour la souscription et la gestion de la relation clients. Répondre à toutes les questions du client par rapport à ses offres y compris le service après-vente, l'assistance, l'accueil en boutique, au téléphone ou sur internet. Ensuite pour lui proposer des offres adaptées à ses besoins, améliorer la qualité de son parcours sur nos services. Les données personnelles sont aussi utilisées pour assurer un déploiement optimal du réseau ou lutter contre la fraude et plus largement pour répondre à toutes nos obligations légales et réglementaires en tant qu'entreprise et opérateur de communications électroniques.
Quels sont vos principaux chantiers à venir ?
Il y en a beaucoup ! Beaucoup de sollicitations d'abord, notamment en termes de sensibilisation au code de conduite interne à observer au sein de l'entreprise. Ensuite, il s'agit de mettre en ½uvre des pratiques de type "privacy by design", autrement dit de s'assurer de la protection de la vie privée dès la conception d'une application ou d'un service. Il s'agit donc d'intervenir au bon moment lors de la validation d'une nouvelle offre, notamment en termes de conformité. C'est aussi une question d'adaptation permanente et pour certains métiers une réelle transformation des pratiques. Le sujet va au-delà de la stricte conformité dans la mesure où c'est aussi une opportunité pour renforcer la confiance envers nos clients. C'est un effort collectif, en liaison avec la Commission nationale informatique et liberté (Cnil). Pour le reste, il faudrait accélérer les programmes universitaires de formation à la protection des données personnelles.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 24 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
276 of 500 DOCUMENTS
Le Figaro Online
vendredi 24 novembre 2017 12:02 PM GMT
Données : ces start-up françaises que Facebook a choisi d'accompagner
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 977 mots
ENCART: L'entreprise américaine a beaucoup investi depuis trois mois pour soutenir 12 start-up françaises spécialisées dans la valorisation de données. Elle souhaite ainsi montrer un autre visage de cette économie controversée.
C'est au sein d'un gigantesque hangar du XIIIème arrondissement que se noue l'un des partenariats les plus stratégiques entre Facebook et l'écosystème de l'innovation français. L'entreprise a lancé son incubateur, «Start-up Garage» en septembre dernier à Station F, et couvre d'attentions les 12 entreprises soigneusement sélectionnées par ses experts autour du thème de la valorisation des données personnelles. Plusieurs millions d'euros ont ainsi été investis, un millier d'experts mobilisés... Pour Facebook, l'objectif est d'abord d'«aider les start-up à atteindre les objectifs qu'elles se sont fixés en tout début de programme, comme l'acquisition de nouveaux utilisateurs, de nouveaux partenariats...», assure Caroline Matte, responsable du programme start-up chez Facebook. L'idée de repérer les prochaines acquisitions n'est pas non plus totalement exclue: «On ne regarde pas les start-up du programme de cette façon-là, car l'équipe de M&A (Fusion et acquisition) est à San Francisco et mène un travail autonome, mais elle ne s'interdit pas non plus cette option». Surtout, Facebook saisit aussi l'occasion de ce programme pour faire la démonstration par l'exemple que l'économie de la donnée peut créer du service.
«On ne pensait pas que la vie privée était un tel frein à l'adoption»
Le choix du thème de la valorisation des données n'est pas anodin. C'est également sur ce créneau que repose le modèle économique de Facebook, qui vend à des annonceurs des emplacements publicitaires ciblés en fonction de l'analyse des données de ses utilisateurs. Critiqué par certains acteurs qui l'accusent de se fonder sur la marchandisation de la vie privée, ce modèle est aussi dans le viseur de nombreux régulateurs européens et américains. Ceux-ci lui reprochent tantôt des problèmes liés à la concurrence entre acteurs du numérique, tantôt d'avoir permis des dérives antidémocratiques en laissant des puissances étrangères diffuser de la publicité politique pour changer le cours d'une élection. Avec le programme Start-up Garage, Facebook montre que «l'économie de la donnée fonctionne, qu'elle peut même être durable», explique une porte-parole.
» LIRE AUSSI - Google, Facebook et Twitter dans la tourmente de «l'enquête russe»
La sélection des sociétés du Startup Garage montre effectivement un autre visage de l'utilisation des données. Glose, par exemple, propose un outil de lecture de livres numériques avec une fonctionnalité de commentaires, à destination de consommateurs lambda, mais aussi de professeurs et d'élèves. La start-up a déjà signé des contrats avec près de 800 éditeurs dans le monde et s'utilise déjà dans des classes à Grenoble. Son business model ne repose pas sur la monétisation des données de ses utilisateurs auprès d'acteurs de la publicité, mais sur la vente du catalogue d'ouvrages numériques ou l'abonnement à sa solution technologique de lecture: «toutes les données restent dans l'application, pour créer des algorithmes de recommandation ou informer le lecteur sur le nombre d'heures ou de livres qu'il a lus durant une période donnée», explique ainsi son PDG Nicolas Princen. «On s'est rendu compte sur le terrain que la question de la vie privée était le principal frein à l'adoption de notre application, qu'il y avait même une sorte de psychose dans les milieux éducatifs. Il faut donc rassurer sur la conformité avec les réglementations et expliquer précisément ce qu'on fait des données», explique, bon élève, le fondateur.
«On ne fera pas de monétisation»
Mapstr, de son côté, est assise sur une montagne d'informations extrêmement précieuses sur le marché de la donnée, qu'elle se refuse à monétiser «par principe», assure son fondateur Sébastien Caron. Son application permet d'enregistrer, classer et partager ses adresses sur une carte. 100 000 Français l'utilisent au moins une fois par mois et laissent donc à Masptr des données comme leur géolocalisation, leurs adresses préférées... «Il ne se passe pas une semaine sans que je reçoive une proposition commerciale de me racheter ces données», s'amuse Sébastien Caron. «Mais toutes ces informations sont chiffrées, même moi je n'y ai pas accès, et il est hors de question de les revendre.»
Florent Robert, PDG de Bruno (un robot conversationnel qui suggère des économies et placements en analysant les mouvements bancaires de ses utilisateurs), ouvre également des yeux ronds quand on lui pose des questions liées au respect des données personnelles. «Nos utilisateurs renseignent leurs coordonnées bancaires, qui sont extrêmement surveillées et protégées», explique cet ancien banquier. Même son de cloche chez Alan, start-up d'assurance qui a déjà levé 12 millions d'euros et dont l'un des membres sermonne sur l'importance de préserver les données de santé, particulièrement sensibles. Mieux encore, certaines start-up du programme reposent sur l'application de certains principes du règlement général pour la protection des données (RGPD), à l'image de OneCub, spécialiste de la portabilité des données. «On a régulièrement des experts du RGPD de Facebook qui viennent nous voir et nous suggèrent des pistes d'amélioration de nos produits», explique l'un des start-upper du programme. Un expert de la Commission Nationale Informatique et Liberté (CNIL) a même été invité par Facebook pour des mises au point sur le cadre réglementaire, et chaque start-up se dit déjà bien préparée pour appliquer le RGPD. «Facebook a pourtant une image désastreuse sur ces questions de données personnelles auprès du grand public, pire encore que celle de Google» affirme l'un des entrepreneurs. Tristan Troiset, ingénieur justement passé par Google et Criteo, fait également partie de la promotion. Sa start-up de covoiturage sur distance courte, Karos, ne souhaite pas communiquer sur sa rentabilité mais affirme déjà une chose sur son avenir: «on ne fera pas de monétisation».
DATE-CHARGEMENT: 24 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
277 of 500 DOCUMENTS
Le Temps
vendredi 24 novembre 2017
Le prochain big bang numérique
AUTEUR: DEJAN NIKOLIC
RUBRIQUE: ECONOMIE&FINANCE; FR; Pg. 15
LONGUEUR: 642 mots
TECHNOLOGIES La nouvelle législation européenne sur la protection des données doit entrer en vigueur en mai prochain. Une date butoir que plus des deux tiers des entreprises helvétiques sont en passe de rater. Les explications avec Cédric Juillerat, directeur de Codalis à Genève
Le premier trimestre de 2018 risque de tourner au cauchemar pour les entreprises suisses. Bruxelles a édicté une nouvelle directive sur la protection des données (RGPD). En vigueur dès le 25 mai prochain, elle concerne toutes les sociétés qui collectent et traitent des informations numériques à caractère personnel, relatives à des individus se trouvant dans l'Union européenne, avec l'intention de vendre des biens et services ou d'analyser le comportement des internautes. Pourtant, les enseignes helvétiques, largement touchées par ce dispositif inédit, semblent accuser un important retard dans leurs efforts d'adaptation.
«On estime que plus de 75% des entreprises, hormis celles actives dans le secteur médical, n'ont pas encore commencé à s'intéresser à ce nouveau règlement et n'ont toujours rien mis en place pour s'y conformer», résume Cédric Juillerat, directeur de Codalis, une société de services informatiques genevoise de 40 collaborateurs, qui conçoit et opère les infrastructures d'entreprises de l'Arc lémanique.
Mai 2018, c'est demain. L'attentisme des établissements suisses est en passe de se muer en élan de panique au lendemain des fêtes de fin d'année. Car le RGPD augure d'un véritable cassetête logistique et électronique. Les adaptations nécessaires à l'échelle helvétique se chiffrent à plusieurs centaines de millions de francs.
Des sanctions record
Le nouveau texte introduit des dispositions telles que la possibilité d'obtenir la suppression de ses données personnelles (droit à l'oubli) ou le transfert gratuit, d'un prestataire de services à un autre (portabilité des données), d'y avoir accès facilement et de donner son consentement préalablement à toute collecte.
Côté entreprises, le RGPD implique la désignation d'un délégué à la protection des données, garant de leur cycle de vie - de la collecte au stockage, jusqu'à leur obsolescence. Techniquement, cela se traduit par une gestion plus stricte des registres numériques et une sécurité renforcée des systèmes d'information.
Le RGPD instaure aussi la possibilité d'engager des litiges afin d'être indemnisé en cas d'infraction. La nouvelle loi prévoit des amendes administratives pouvant représenter jusqu'à 4% du chiffre d'affaires mondial annuel de la société fautive, ou plus de 23 millions de francs. «Au-delà des pénalités financières, les entreprises jouent leur réputation», signale Cédric Juillerat, qui - comme tant d'autres depuis plusieurs semaines - organise le 29 novembre prochain au Forum Genève une conférence pour déterminer les effets des nouvelles mesures européennes sur les systèmes d'information des entreprises suisses.
La question des cyberattaques
Le Conseil fédéral a rendu en décembre dernier son avant-projet législatif sur la révision complète de la loi sur la protection des données (LPD), jugée inadaptée aux évolutions technologiques. Ce dernier s'inscrit dans la stratégie «Suisse numérique» d'avril 2016. «Le RGPD est une opportunité de se mettre en conformité avec la LPD, qui s'en veut proche à 90%. Il est opportun de faire un état des lieux et d'identifier clairement les options, en matière de gouvernance, de solutions applicatives et d'infrastructure», souligne Cédric Juillerat.
Toutefois, le RGPD reste aujourd'hui muet sur le lieu de stockage des données. «Entre un cloud en Irlande, une structure 100% suisse ou des solutions plus exotiques, les entreprises helvétiques bénéficient d'une marge de manoeuvre. La question doit être posée, notamment dans un contexte de recrudescence des cyberattaques», conclut Cédric Juillerat.
DATE-CHARGEMENT: 24 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TPS
Copyright 2017 Le Temps SA
tous droits réservés
278 of 500 DOCUMENTS
Les Echos.fr
vendredi 24 novembre 2017
Données personnelles: une nouvelle règle qui ne fait pas que des malheureux
AUTEUR: FLORIAN DEBES
RUBRIQUE: ARTICLE; « Trouver un juste équilibre »
LONGUEUR: 1039 mots
ENCART: La réglementation européenne sur les données entrera en vigueur dans six mois. Plus contraignante et assortie d'amendes très lourdes, elle inquiète de nombreuses entreprises. Mais les géants américains du numérique ne devraient pas trop en souffrir. Et quelques start-up espèrent déjà en tirer profit.
L'échéance approche à grands pas, et c'est un événement mondial. Dans six mois, le Règlement général sur la protection des données (RGPD) aura force de loi. Le 25 mai 2018, les entreprises européennes, mais aussi toutes celles du monde entier qui collectent des informations permettant d'identifier un citoyen européen devront se plier à de nouvelles exigences. Responsabilisées, elles devront pouvoir justifier à tout moment d'un usage raisonné de ces « data », chez elles et chez leurs sous-traitants. Les sociétés contrevenantes s'exposeront à une amende égale à 4 % de leur chiffre d'affaires mondial. La sanction, considérablement alourdie par rapport à la précédente directive en vigueur, fait pâlir plus d'un patron.
Adopté par le Parlement européen en avril 2016, le désormais fameux « RGPD » donnait deux ans aux entreprises et aux administrations pour se conformer à ses obligations et ses préconisations. Par exemple, les entreprises devront obligatoirement mener une étude d'impact à chaque fois qu'elles envisageront un traitement de données à risque élevé. Le texte demande aussi aux sociétés manipulant beaucoup de données à caractère personnel - celles du numérique et les grands groupes - de tenir un registre recensant ligne à ligne ces informations, ainsi que les traitements qui y sont appliqués : quel croisement de fichiers ? dans quel but ?
Mais la tâche est souvent plus ardue qu'il n'y paraît. Chargés de faire le ménage et de supprimer des données recueillies sans le consentement explicite des principaux intéressés, les informaticiens se grattent longtemps la tête, de peur que la disparition d'un fichier fasse bugger tout un système. Pour ne rien arranger, prendre ces mesures coûte cher : entre 30 et 50 millions d'euros pour un groupe du CAC 40, selon des études Sia Partners ou Wavestone. Chez les assureurs et les banques, gros collecteurs d'informations personnelles, la facture sera encore plus lourde.
« Trouver un juste équilibre »
Toutes ces contraintes pour quoi ? « Dans ce nouveau monde, il faut trouver un juste équilibre qui permette à la fois de faire émerger de nouveaux services utiles basés sur l'utilisation de nos données personnelles, mais aussi de veiller à la protection de ces mêmes données personnelles pour garantir les libertés », expliquait récemment Isabelle Falque-Pierrotin, la patronne de la Commission nationale de l'informatique et des libertés (CNIL) dans une interview aux « Echos ». Et de poursuivre : « [...] de grands groupes comme Facebook ou Google [...] savent désormais que s'ils veulent venir sur notre marché, ils doivent respecter les conditions que nous leur fixons ».
Tout comme l'Europe entend se défendre des pratiques fiscales des géants mondiaux du numérique, le continent des Lumières entend se prémunir de la vision très permissive des acteurs américains en matière d'exploitation des données. Mais rien n'est encore joué sur ce point. Très actifs auprès des parlementaires européens au moment de l'écriture du RGPD, les juristes de ces sociétés américaines ont très tôt compris les enjeux et... repéré de possibles arrangements.
Une notion trop vague
Par exemple, elles n'auront pas forcément besoin de demander le consentement des citoyens européens pour traiter leurs données. Le texte les y autorisera si elles justifient d'un « intérêt légitime ». Or « la prospection commerciale est considérée comme un intérêt légitime par le RGPD », critique l'avocat spécialisé Olivier Iteanu. Une formulation qui fait le bonheur des acteurs de la publicité numérique. Seul garde-fou à cette notion bien vague, cet intérêt ne doit pas prévaloir sur les droits fondamentaux de l'individu, comme le droit à la vie privée.
Sur cette base, Google, Facebook, Apple, Amazon et les autres grands éditeurs de logiciels et de services Internet se sont mis en ordre de bataille pour obtenir leur blanc-seing de conformité. Chez Microsoft, pas moins de 300 ingénieurs travaillent pour rendre conforme l'entreprise de Redmont aux yeux de Bruxelles. Résultat, les mauvais élèves du passé se montrent aujourd'hui comme des modèles qui peuvent aider leurs clients à franchir le pas.
Certes, la menace d'une méga-amende pèse sur les géants du numérique hors-la-loi. Le nouveau texte prévoit de pouvoir infliger à Facebook une amende maximum de 860 millions d'euros, sur la base d'un montant de 4 % de son dernier chiffre d'affaires annuel. C'est bien davantage que les 150.000 euros de sanction qui lui ont été prononcés en mai dernier en France, pour manquements à la loi Informatique et Libertés. Mais encore faudra-t-il que les organismes de régulation aient les moyens, notamment humains, de mener leurs contrôles, y compris outre-Atlantique où les données sont souvent transférées.
Vers une économie «privacy by design »
Le gendarme français sera la CNIL, associée à ses pairs européens. Rassurante, elle précise même que le couperet de l'amende ne tombera pas, au début, sur les aspects les plus nouveaux du texte. Mieux, la Commission se présente également volontiers comme un conseiller pour une économie « privacy by design », c'est-à-dire respectueuse des données personnelles.
La CNIL voit au-delà du marché de la mise en conformité, qui a explosé cette année. Dès maintenant, juristes, sociétés de cybersécurité et éditeurs de logiciels de classification des données profitent de la peur de l'amende ; tandis que les assureurs se préparent. A partir du 25 mai 2018, des entrepreneurs pourraient, dans l'esprit du régulateur, créer des modèles économiques s'appuyant sur la confiance des internautes en matière de données personnelles. L'Afnor planche même sur une certification en ce sens.
Par exemple, le nouveau droit à la portabilité des données (un internaute peut demander les données le concernant à une entreprise afin de les communiquer à une autre) doit rendre accessibles des données de qualité afin d'en tirer plus de valeur. Déjà, des sociétés comme Qwant, le moteur de recherche alternatif à Google, ou Cozy Cloud, un hébergeur de fichiers en ligne, espèrent qu'être nés du bon côté de la loi leur assurera une crédibilité plus forte par rapport aux nouveaux convertis. Ils pourraient faire des émules. Aux consommateurs européens de choisir leur camp.
Contributor:
DATE-CHARGEMENT: 28 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Les Echos
tous droits réservés
279 of 500 DOCUMENTS
Action Co
23 novembre 2017
Edition 1
RGPD, POURQUOI CELA CONCERNE AUSSI LES COMMERCIAUX
RUBRIQUE: WHAT'S UP ? REPÈRES; Pg. 12,13
LONGUEUR: 1065 mots
ENCART: Données
La nouvelle réglementation européenne visant à renforcer la protection des données personnelles est au coeur des problématiques des commerciaux. Lucette Gaillard Commisso, directrice marketing et data intelligence chez Coheris, explique en détail les enjeux et les conséquences du RGPD. /// Qu'est-ce que le RGPD? ? Le RGPD, Règlement général sur la protection des données, est le nouveau règlement du Parlement européen et du Conseil de l'Union européenne visant à harmoniser la gouvernance des informations personnelles au sein des pays membres de l'Union européenne. Il a pour objectif de sécuriser et protéger les données personnelles que possèdent les entreprises.
Toutes les entreprises qui gèrent, stockent et déplacent des données personnelles (clients, fournisseurs, salariés, etc.), sont concernées. Concrètement, un client pourra par exemple, à partir du 25 mai 2018, accéder gratuitement à ses données personnelles et demander quel usage l'entreprise en fait une fois collectées, ou encore exiger de l'entreprise d'effacer ses données... Quelle démarche mettre en place? ? Il est indispensable de sensibiliser l'ensemble des collaborateurs sur les nouvelles règles liées à la réglementation, et prendre conscience des impacts qu'elle aura sur les processus de l'entreprise. Parmi les mesures majeures figure la désignation, pour certaines entreprises, d'un Délégué à la protection des données (DPO, Data Protection Officer). Sa mission principale est de s'assurer que l'entreprise est en conformité avec le cadre légal relatif aux données personnelles.
Pour certaines entreprises, le recours à la création d'un comité de pilotage RGPD peut suffire. Il peut s'agir, par exemple, des membres du comité de direction ou du comité exécutif. Il aura pour mission de superviser les actions de mise en conformité établies par chaque direction. Néanmoins, la contribution du service juridique de l'entreprise peut s'avérer utile, voire nécessaire.
Par où commencer? ? Avant tout, il convient de dresser un état des lieux de la situation actuelle afin de prévoir les actions à mener et construire sa feuille de route. Pour commencer, il faut identifier où sont les données personnelles au sein de l'entreprise, qui les utilise, comment et à quelle fin.
Ensuite, il faut différencier données personnelles et données sensibles. Les données à caractère personnel concernent toutes les informations relatives à une personne physique identifiée, ou identifiable (nom, prénom, e-mail, téléphone, photo, etc.). Bien que le recueil et les traitements de ces données soient fortement encadrés, la collecte de ces informations est légale.
Les données dites sensibles concernent l'origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l'appartenance syndicale, la santé ou la vie sexuelle. Par principe, la collecte et le traitement de ces données sont interdits, sauf consentement spécifique ou cas particuliers. Il est également interdit de stocker des commentaires inappropriés sur un individu, du type insultes ou jugement de valeur.
Quel impact sur les CRM? ? La plupart des CRM disposent de zones de texte libre, dans lesquelles les utilisateurs peuvent saisir des commentaires liés à un individu (client, fournisseur ou personnel, par exemple). Il faut donc être en mesure d'identifier les données sensibles souvent présentes dans les zones de commentaires libres des applications métier de l'entreprise. La mise en conformité d'une entreprise passe aussi par la mise en conformité de ses outils et l'utilisation qui en est faite. Il est important d'identifier les données personnelles stockées dans le CRM et de s'assurer que ce dernier permet de répondre aux exigences du RGPD: recueil du consentement, traçabilité des modifications, droit d'accès aux données et droit à la portabilité, et aussi droit à l'oubli et traitements d'anonymisation. La Cnil recommande de limiter le recours aux zones de commentaires libres et de favoriser l'utilisation de menus déroulants. Cependant, l'utilisation de ces zones permet d'assurer le suivi d'un dossier client ou de personnaliser la relation commerciale. Dans ce cas, la Cnil préconise la réalisation d'audits réguliers et le recours à des outils automatiques. On peut par exemple utiliser des solutions de type data mining ou text mining permettant d'identifier et de monitorer en temps réel (ou en différé) les données sensibles dans les zones de commentaires libres des applications de l'entreprise. Ainsi, toute saisie non conforme pourra être détectée et corrigée en temps réel.
Ce que cela va changer pour les commerciaux? ? Dès lors que les commerciaux s'apprêtent à collecter une donnée sur un client ou un prospect, ils devront se poser un certain nombre de questions afin de s'assurer d'être conformes avec les droits des personnes et les obligations des entreprises. Il est donc important que les services commerciaux soient sensibilisés aux obligations qui s'imposent à eux lors de la saisie de données personnelles, notamment dans le cas de collecte directe (art. 13 du RGPD), comme c'est souvent le cas pour les commerciaux. D'après l'article 13, le commercial devra fournir un certain nombre d'informations lors de la collecte de données personnelles à la personne concernée.
Ce que cela va changer pour les clients et prospects? ? Bien qu'il puisse apparaître comme une contrainte lourde pour les entreprises, ce nouveau règlement peut être une réelle opportunité de nouer des relations bien plus qualitatives avec les clients et les prospects. En effet, la digitalisation et les nouvelles technologies ont permis aux entreprises de collecter un volume considérable de données personnelles et sensibles, sur lesquelles les personnes concernées n'avaient plus aucune maîtrise ni contrôle. Le RGPD impose d'informer les clients et prospects sur l'usage qu'il est fait de leurs données personnelles. Ce qui impose ainsi plus de transparence, et donc un climat de confiance qui sera bénéfique dans la relation client-fournisseur.
« Il est important
d'identifier
les
données personnelles
stockées
dans le CRM. »
Lucette Gaillard Commisso, directrice marketing et data intelligence chez Coheris
Quelles sanctions? ? Alors que la Cnil ne pouvait aller au-delà d'une amende de 150000 euros, elle sera apte, dès mai 2018, à infliger des sanctions se chiffrant jusqu'à 20 millions d'euros et 4 % du chiffre d'affaires annuel mondial.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ACT
Copyright 2017 Action Co
tous droits réservés
280 of 500 DOCUMENTS
Challenges.fr
jeudi 23 novembre 2017 6:45 AM GMT
Des patrons plongés dans l'enfer d'une cyberattaque
AUTEUR: AFP
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 743 mots
Une société informatique se retrouve dans une position très inconfortable après avoir été visée par des hackers. Une énième cyberattaque ? Non, cette fois-ci, une simulation montée par un spécialiste du secteur, mais sur fond dactualité brûlante.
Dans un exercice réalisé pour des journalistes à Helsinki, la société finlandaise F-Secure a imaginé comment la direction de Comsec, une entreprise aux équipes éclatées entre lAllemagne et lItalie, apprend par un tweet quun blogueur a publié le code source de son produit vedette, un VPN --cest-à-dire un programme de protection de la navigation sur internet-- commercialisé notamment par GermanTel, le principal opérateur de télécoms (évidemment fictif) allemand.
Un cauchemar... "Plusieurs hackers connus, y compris lauteur du blog, affirment que le code source est mal écrit et contient des failles de sécurité", écrit dans la foulée une gazette en ligne spécialisée. Les serveurs de lentreprise font aussitôt lobjet de graves attaques, apparemment lancées par des activistes.
La fuite viendrait du piratage dun ordinateur par un ancien stagiaire, quinze jours plus tôt.
Pour la direction de Comsec, il faut réagir sans délai: tenter de comprendre ce qui se passe, bien sûr, et voir si le VPN est effectivement vulnérable, dialoguer avec les équipes techniques, mais aussi prévenir les autorités, penser aux conséquences juridiques, prévenir les employés, rassurer la presse qui sinquiète déjà...
"Si vous dites +pas daffolement+, ils vont saffoler", conseille un journaliste flamand participant à lexercice. On décide alors de rédiger un communiqué ressemblant à ceux que lAFP reçoit dans de pareilles circonstances: "Nous savons quil y a eu un incident et nous le prenons au sérieux. Notre équipe informatique sen occupe. (...) Nous vous tiendrons au courant." Histoire de temporiser.
"Tout est sous contrôle, tout le monde est satisfait", résume dans un grand sourire un confrère indien, porte-parole improvisé face au directeur général.
De fait, la panique est totale. Dautant que la direction a oublié de parler à ses principaux clients, et que le patron de GermanTel laccuse publiquement de négligence. Tant bien que mal, elle organise pourtant la défense, et le fameux VPN devrait pouvoir être corrigé rapidement.
- Panique sous contrôle -
"Bon travail, même si je ne pense pas que la compagnie survivra", commente à lissue de lexercice Adam Pilkey, communicant chez F-Secure qui encadre les managers du jour.
"Il arrive que la direction reste silencieuse pendant cinq minutes, puis demande sur qui faire peser la faute et qui poursuivre en justice !", raconte son collègue Jani Kallio, le responsable de la stratégie.
Pour F-Secure, qui organise régulièrement de tels ateliers avec de vrais cadres dentreprise, il sagit bien sûr de vendre son expertise et ses produits.
"Avec un système de protection adéquat, vous auriez pu détecter la fuite par vous-même et réagir rapidement", au lieu dêtre mis devant le fait accompli quinze jours plus tard, remarque le directeur marketing Mikko Röntynen, reconnaissant bien volontiers que la plupart de ses concurrents offrent des services similaires.
Le but de lexercice est surtout de sensibiliser les dirigeants aux risques des attaques informatiques, en leur faisant imaginer linimaginable. Avec les malwares (logiciels malveillants) Wannacry et NotPetya --aussi appelé Petya-- au printemps, des entreprises entières ont été paralysées, leur communication interne désorganisée, la confiance de leurs clients érodée.
En outre, le Règlement général sur la protection des données (RGPD), un texte européen, rendra à partir du 25 mai 2018 les entreprises responsables des données personnelles quils détiennent.
En cas de vol ou de compromission, elles pourront être poursuivies en justice, et sexposeront à des amendes pouvant atteindre 4% de leur chiffre daffaires total. Un rapide calcul donnerait 260 millions de dollars pour Uber, qui a annoncé mardi le piratage des données de 57 millions dutilisateurs lan dernier.
Doù limpérieuse nécessité de se préparer --en commençant par savoir de quelles données ont dispose-- et détablir des scénarios pour faire face, au cas où.
"Le RGPD concerne surtout les processus et la façon de penser ce que vous devez faire quand vous manipulez des données personnelles", résume Mikko Röntynen. "Cest un point de départ, mais il faut aller au-delà" pour se protéger des hackers, estime-t-il.
DATE-CHARGEMENT: November 23, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2017 Challenges
tous droits réservés
281 of 500 DOCUMENTS
Décision Achats
23 novembre 2017
Edition 1
Cybersécurité : quelles précautions prendre avec ses fournisseurs ?
AUTEUR: SONIA PUIATTI
RUBRIQUE: MÉTIER DÉCRYPTAGE; Pg. 34,35,36
LONGUEUR: 1412 mots
Comment, en tant qu'entreprise, se protéger des failles de cybersécurité, en interne et chez ses sous-traitants ? Éléments de réponse tirés de la matinale benchmark du Brapi (Benchmark des responsables achats de prestations intellectuelles) organisée en octobre dernier.
En 2017, le ransomware Wannacry a fait des dégâts dans bon nombre de grandes entreprises dans le monde. Tout comme cette cyber attaque désormais célèbre, 90 % des intrusions réussies dans les systèmes d'information émanent de failles connues et disponibles sur Internet. Pour les contrer, antivirus et pare-feu ne suffisent pas, car l'essentiel du risque informatique demeure l'humain et les défauts de process (ordinateurs non mis à jour, correctifs de sécurité non appliqués). Pourtant, le ROI de la cybersécurité se calcule sur toutes les pertes induites, même les moins évidentes : perte de collaborateurs, vol de propriété intellectuelle, perte de contrats... Toutefois, il semblerait que les comex commencent à s'en emparer.
« La cybersécurité devient une métrique économique pour les entreprises. On assiste à un changement d'état d'esprit progressif des dirigeants qui considèrent de plus en plus la cybersécurité comme un avantage compétitif », rassure Yassir Kazar, cofondateur de Yogosha, entreprise française spécialisée dans la mise en relation des entreprises avec des hackers éthiques. À titre d'exemple, lors du rachat de Yahoo par Verizon en début d'année, une attaque informatique sur Yahoo pendant l'IPO a compromis des données utilisateurs, poussant Yahoo à revoir sa valorisation à la baisse de 30 %. « Les pirates informatiques recherchent aussi la rentabilité, c'est-à-dire entrer dans des SI en faisant le moins d'efforts possible. L'idée de faire de la sensibilisation, de traiter l'humain, doit faire son chemin. Il faut changer de méthode », prévient Maxime Alay-Eddine, dirigeant de Cyberwatch, entreprise spécialisée dans les tests d'intrusion et les solutions de gestion des vulnérabilités. En effet, la cybersécurité n'est pas que l'affaire des DSI. Les acheteurs ont un rôle à jouer en vérifiant notamment que les fournisseurs répondent à plusieurs obligations.
Imposer un management de la cybersécurité à ses fournisseurs Les fournisseurs doivent donc montrer patte blanche. Dans les contrats conclus avec des sociétés d'infogérance, il y a des clauses de mises à jour en cas de failles avérées. En théorie, c'est donc couvert. Mais en pratique, la détection des vulnérabilités et l'application des correctifs prennent du temps à l'infogéreur et il est fréquent qu'une vulnérabilité soit oubliée. « Les grands comptes demandent à leur fournisseur de plus en plus régulièrement des attestations de tests d'intrusion ou des preuves de leur suivi des vulnérabilités », explique Maxime Alay-Eddine.
Pour les prestataires SI, il est recommandé d'imposer la certification ISO 27001 (management de la sécurité de l'information). Celle-ci permet de créer une chaîne de qualité et d'amélioration continue, imposée aux fournisseurs. « C'est un process qui fonctionne bien sur un périmètre unique et bien défini, mais qui peut perdre de sa vertu quand elle est appliquée à toute l'entreprise, car son bienfait est alors dilué », prévient Freddy Milesi, CEO de Sekoia, start-up spécialisée dans la prévention des cyber-risques. Dans cette boîte à outils, les acheteurs peuvent aussi utiliser les attestations SOC2 (en cas de sous-traitance d'activités, elles permettent de vérifier qu'un contrôle interne IT a lieu), la clause d'audit (efficace quand elle porte sur le périmètre d'une prestation mais chère et contraignante dans la pratique car elle impose des déplacements), le reporting PSEE, la déclaration d'incidents de sécurité, une assurance cybersécurité, ou encore la mise au rebut et la destruction des médias (informations échangées avec les fournisseurs détruites au terme du contrat). Il peut être pertinent de mixer ces différentes approches. En interne, les acheteurs doivent se rapprocher du RSSI ou des équipes sécurité, notamment pour défi-nir conjointement les processus de sourcing et inclure les conditions dès les RFP, vérifier et valider les autoévaluations des fournisseurs.
La nouvelle responsabilité des fournisseurs imposée par le RGPD Le RGPD impose de nouvelles exigences aux soustraitants dans les relations à leurs clients. Auparavant, le responsable de la collecte des données était celui qui l'avait commanditée et le sous-traitant avait peu de responsabilité. Dorénavant, ce dernier est bien coresponsable en cas d'atteinte à la protection des données personnelles. La responsabilité des deux sera recherchée. Le sous-traitant devient seul responsable s'il outrepasse les instructions de l'entreprise commanditaire. S'il a respecté des instructions qui n'étaient pas conformes au RGPD, il a l'obligation d'alerter le responsable du traitement sur ce point. Un partage de responsabilités aura lieu en fonction du cas.
Les acheteurs vont désormais devoir vérifier contractuellement que le sous-traitant fournit des garanties techniques et organisationnelles suffisantes. Les contrats doivent comporter les clauses spécifiques suivantes : - le sous-traitant ne doit traiter les données que selon les instructions du responsable du traitement (e-mails, lettres, comptes rendus) et ne peut sous-traiter lui-même sans autorisation écrite ; - le sous-traitant doit s'assurer que son personnel est soumis à une obligation de confidentialité ; - il doit garantir une sécurité des données proportionnée, c'est-à-dire qu'il doit être conscient de la sensibilité des données qu'il traite et garantir une sécurité adaptée ; - il doit assister le responsable du traitement pour assurer la conformité aux obligations de sécurité et à l'évaluation de l'impact sur la vie privée (coresponsabilité) ; - il doit restituer au responsable ou effacer les données à l'issue du traitement ; - il doit tenir un registre écrit de toutes les catégories de traitements mises en oeuvre pour le compte de chaque responsable du traitement ; - il doit prendre des mesures pour s'assurer que les membres du personnel ayant accès aux données personnelles procèdent au traitement conformément aux instructions. Le sous-traitant est responsable de son personnel ; - il doit notifier toute violation de données personnelles au responsable du traitement, dès qu'il en a connaissance et sans délai ; - il doit désigner un DPD (délégué à la protection des données) dans des cas précis, y compris lorsque le traitement requiert un suivi régulier et systématique des personnes concernées à une grande échelle, ou que les données sont liées à des condamnations pénales et à des infractions.
Le suivi de la sécurité d'un fournisseur Ce suivi doit être continu dans le temps, et se faire sur la base d'audits par lesquels les fournisseurs doivent, à intervalle régulier, justifier de l'évolution de leur niveau de sécurité et des mesures implémentées. Il peut être également opportun de prévoir des rendez-vous périodiques avec tous ses fournisseurs pour les tenir informés des enjeux métiers et menaces sectorielles.. SONIA PUIATTI
Les acheteurs ont un rôle à jouer en
vérifiant notamment que les fournisseurs
répondent à plusieurs obligations.
Faites appel à des pirates éthiques !
Yogosha, c'est le bug bounty à la française ; la plateforme met en relation des entreprises avec des communautés de "hackers éthiques", rémunérés pour les failles de sécurité qu'ils détectent. Certains Gafa ont déjà lancé leur propre programme de bug bounty (littéralement, "prime pour faille") en interne.
Chez Yogosha, les 200 chercheurs sourcés dans le monde entier sont sélectionnés à l'entrée et leur identité est systématiquement vérifiée. Une main-d'oeuvre d'autant plus salvatrice que l'ANSSI a relevé une pénurie de 75 % de ce type de profils en France.
Par exemple, un grand compte ayant fait appel aux services de Yogosha pour tester une application mobile a vu remonter 40 failles en cinq jours, chacune facturée 500 euros. Une matrice permet d'évaluer leur coût en fonction de l'historique de l'entreprise, de sa perception du risque et du périmètre concerné (secteur d'activité). Le principe demeure celui de la place de marché, le client positionne le prix comme il le souhaite mais doit jouer le jeu au risque de ne pas attirer les talents. Le meilleur chercheur peut percevoir jusqu'à 50 000 euros annuels.
Dorénavant, le sous-traitant est
coresponsable en cas d'atteinte à la
protection des données personnelles.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DAT
Copyright 2017 Décision Achats
tous droits réservés
282 of 500 DOCUMENTS
Décision Achats
23 novembre 2017
Edition 1
Que va changer l'open data pour les marchés publics ?
AUTEUR: CAMILLE GEORGE
RUBRIQUE: MÉTIER FOCUS; Pg. 44,45,46,47
LONGUEUR: 2186 mots
Le 1er octobre 2018, l'ensemble des organismes publics est censé passer à l'open data. Mesdames et Messieurs acheteurs publics, il vous reste donc moins d'un an pour préparer le terrain, adapter vos profils d'acheteurs, définir et mettre en place un process qui permette la diffusion des données essentielles, tout en évitant les pièges de la réutilisation et du croisement des données.
Dans le cadre de la transformation numérique des marchés publics, plusieurs chantiers d'envergure sont en cours. Ainsi, au 1er octobre 2018, État, collectivités locales et organismes publics auront "l'obligation de publier les données essentielles des contrats de marché public supérieurs à 25 000 euros HT et pour chaque contrat de concession". Si la liste des marchés publics conclus l'année précédente était déjà publiée, elle ne l'était pas de façon normée. La publication de ces données sur des supports très divers rendait leur exploitation complexe. Désormais les acheteurs devront les rendre accessibles "sous un format ouvert et librement réutilisable". Cette normalisation doit servir un objectif précis : faire de l'ouverture des données un levier de développement de nouvelles stratégies d'action, tant pour les acheteurs publics que pour les entreprises ou même les citoyens. En plus de répondre à l'exigence de transparence imposée par le code des marchés publics en facilitant la lutte contre la corruption, l'open data, en donnant une meilleure visibilité aux acheteurs publics, devrait également contribuer à faciliter la gestion des deniers publics ainsi que le pilotage des politiques d'achats. Les acteurs économiques, quant à eux, pourront se saisir facilement des données "pour mieux répondre aux besoins des acheteurs publics, mais aussi pour développer de nouveaux services pour le perfectionnement des politiques de la commande publique", comme le souligne sur son site la DAJ de Bercy.
Les ambitions sont donc grandes et l'open data doit à terme permettre de créer tout un écosystème dynamique et standardisé des données de la commande publique. Sur le principe, l'objectif est louable et les retombées de la démarche toutes bénéfiques. Mais attention à ne pas perdre le contrôle de la donnée ! Car si l'acheteur public doit répondre à un besoin de transparence, il doit aussi garantir le secret industriel et commercial. Comment alors donner un accès facilité aux données essentielles des contrats sans porter atteinte au secret des procédés, des informations économiques et financières et des stratégies commerciales des acteurs économiques ? L'intérêt de lier les démarches open data et RGPD Dans l'univers des marchés publics, tout est question de subtilité et d'interprétation des textes de loi. Ici, la subtilité tient en un seul mot : "essentielles". Il s'agit en effet de ne diffuser que les données essentielles des contrats de la commande publique. Plusieurs articles, décrets et arrêtés ont été rédigés afin de fixer un cadre à l'open data. La loi Macron de juillet 2015 définit précisément quelles données transport diffuser, la directive Inspire fixe le cadre de diffusion des données géographiques, l'arrêté du 14 avril 2017 précise la liste des données devant être publiées sur les profils d'acheteurs, la loi pour une République numérique, dite loi Lemaire, de décembre 2016, consacre bien évidemment un large pan à l'open data.
Si la plupart des décrets de cette loi sont déjà en vigueur, certains points restent à préciser, notamment concernant les plateformes et la portabilité des données entre autres. Quant à la loi NOTRe, elle comprend aussi un décret relatif aux modalités de publication et de transmission des données par voie électronique des actes et documents administratifs des collectivités territoriales et EPCI. « Tous ces textes ont bien sûr vocation à clarifier la situation. Cela fait tout de même une masse importante de documents à compiler et l'on peut vite s'y perdre », prévient David Thoumas, cofondateur d'OpenDataSoft, société spécialisée dans la transformation des données structurées en API. Pour le moment, donc, la multiplication des contraintes réglementaires aurait plutôt tendance à brouiller les cartes. « D'autant que si l'open data ne concerne normalement pas les informations sensibles ou à caractère personnel, mais uniquement des données anonymisées, le croisement des données et les technologies big data n'écartent pas le risque de réidentification », estime, pour sa part, maître Stéphane Astier, du cabinet Haas Avocats, spécialisé dans le secteur de l'IT. D'où l'intérêt de lier les réflexions RGPD et open data dans la construction d'une stratégie digitale. En ouvrant les données, on se heurte rapidement à l'écueil de leur réutilisation. En effet, la réglementation européenne sur la protection des données personnelles (RGPD) donne (sciemment ?) une définition très large d'une donnée personnelle : "Toute information relative à une personne physique qui permet de remonter directement ou indirectement à son identification." « Donc, une adresse IP, par exemple, est une donnée personnelle », précise maître Stéphane Astier. Même chose pour la notion de traitement de données. « Le traitement est également entendu au sens large puisque cela implique tout ensemble d'opérations automatiques ou non. Une interconnexion entre plusieurs bases est donc considérée comme un traitement de la donnée », explique l'avocat. Afin d'éviter de s'y perdre ou d'être contraint de revenir en arrière et de procéder a posteriori à des ajustements en menant deux démarches de mise en conformité juridique et technique différenciées, mieux vaut donc mener une réflexion globale dès l'origine.
Qu'implique réellement la démarche ? Si le passage à l'open data est un chantier d'envergure, pour ne pas dire un Everest, pour nombre de collectivités territoriales, et si depuis deux ans seules 150 collectivités de plus de 3 500 habitants sur 5 000 disposent d'un portail open data, c'est bien parce que l'ouverture des données implique une refonte complète des systèmes d'information. Autant dire une phase très lourde, tant au niveau organisationnel que financier. On se dirige doucement mais sûrement vers une révision totale de l'architecture du SI achats publics. « Les projets évoluent lentement car les collectivités manquent de méthodologie et de moyens pour piloter la donnée. Or, les contraintes liées au RGPD peuvent permettre d'accompagner et de développer des sujets d'open data », estime Stéphane Astier. La cartographie SI imposée par le RGPD va donner un mapping précis de la donnée et permettre aux organismes publics d'identifier quels jeux de données peuvent être mis à disposition. Être en mesure d'identifier les sources de données et de les remonter dans les portails acheteurs est le gros travail qui attend les organisations publiques. De là pourront être mises en place des mesures techniques et organisationnelles pour atteindre le niveau de sécurisation approprié. Il s'agira de définir avec tous les prestataires qui est propriétaire de quoi. « Si la démarche en elle-même est vertueuse et va permettre de moderniser l'achat public, ce qui est compliqué à gérer pour les collectivités et les petits établissements publics, c'est le temps et les moyens informatiques. Ce ne sera pas neutre financièrement, un arbitrage différent s'imposera à nous », juge Céline Debuiche, responsable de la commande publique de Savigny-sur-Orge.
La question de l'habilitation des agents pour la mise en ligne et le téléchargement des offres se pose et impliquera a minima une formation spécifique. L'encadrement juridique devra être très précis. La double démarche open data et RGPD impliquera de mener des études d'impact pour définir le niveau de sensibilité des données, la mise en place d'un référentiel de sécurité avec, par exemple, l'élaboration d'une charte utilisateur pour sensibiliser les agents et les prestataires ; une politique de conservation et d'archivage devra également être formalisée.
L'accompagnement pendant la phase transitoire, voire l'externalisation du contrôle de la conformité des traitements de données, sera potentiellement nécessaire. « Il est important d'avoir dès maintenant une stratégie, un budget et un expert dédié à la gouvernance du SI avec les bons paramètres de sécurité », conseille maître Stéphane Astier, du cabinet Haas. Qui rappelle également l'obligation pour les organismes publics de nommer au 25 mai 2018 un DPO (data protection officer). « Le CIL (correspondant informatique et libertés) ne pourra assumer cette charge. Le DPO, qui aura en charge la conformité juridique des traitements de données et engagera sa responsabilité, se doit d'être complètement indépendant pour pouvoir peser sur la prise de décision », explique Stéphane Astier.
La difficulté sera donc de trouver la personne en interne suffisamment indépendante par rapport au comité de direction, mais dotée d'un pouvoir de décision égal à celui-ci. « Le DPO sera un peu le commissaire aux comptes de la donnée et doit être directement rattaché à la direction générale. » Pour l'avocat, la solution la plus simple et la moins coûteuse à mettre en place serait une externalisation du poste de DPO à durée déterminée avec transfert de compétences. « Le CIL reste en place et techniquement compétent. Il devient le référent au DPO, qui assure le pilotage de façon externalisée et ponctuelle après un accompagnement durant la phase transitoire de mise en conformité via un contrat de prestation classique avec passage de témoin », détaille Stéphane Astier.
Pas étonnant que l'open data soit perçu par beaucoup d'acteurs publics comme un grand bouleversement. Et si ces contraintes au changement peuvent créer de vraies opportunités, notamment en termes de décloisonnement et de mutualisation des DSI publiques avec des bénéfices réels en matière de réactivité, elles méritent encore d'être précisées juridiquement. « Nous aurons par exemple obligation de publication des modifications de contrats. Autrement dit, les avenants seront accessibles aux tiers, sous-entendu aux non-retenus. Or, la nature des modifications à publier n'est pas précisée par décret. Est-ce que l'avis de publication sera demain le point de départ possible de contentieux ? », s'interroge Arnaud Latrèche, adjoint au directeur de la commande publique et de la valorisation immobilière du département de la Côte-d'Or et vice-président de l'AAP. La transparence porte en effet non plus sur l'attribution des marchés, mais sur ce qui se passe après. « Reste à voir comment tout cela sera exploité par les entreprises, les organisations de contrôle et le tout citoyen », conclut Arnaud Latrèche.. CAMILLE GEORGE
Focus
L'importance du format
L'open data implique que les données soient disponibles sous un format ouvert, via un accès libre, direct et complet. «Exposer des fichiers Excel, ce n'est pas de l'open data. Cela ne permet pas la publication de l'information en intermodalité. La notion de format est donc très importante», souligne David Thoumas, d'OpenDataSoft. Les trois principaux formats utilisés sont les formats CSV, XML et JSON, qui permettent de minimiser les contraintes d'accès. «Le choix de la licence
(ouverte ou contraignante) est également déterminant et peut permettre de mieux cadrer la réutilisation des données publiées, voire de monétiser via une redevance certains jeux de données», explique David Thoumas. Si la loi favorise la gratuité, certains jeux de données peuvent être soumis à une redevance calculée selon les dispositions de l'article 15 de la loi CADA. Mais depuis le décret et la circulaire Etalab qui font de cette gratuité un prérequis, les cas d'exception avec redevance sont assez restreints. Une liste des données soumises à redevance est tenue à jour sur le portail Data.gouv.fr.
« Les projets évoluent lentement car
les collectivités manquent de méthodologie
et de moyens pour piloter la donnée. » Maître Stéphane Astier, du cabinet Haas Avocats, spécialisé dans le secteur de l'IT
« Nous aurons par exemple obligation de publication
des modifications de contrats. Autrement dit,
les avenants seront accessibles aux tiers, sous-entendu
aux non-retenus. » Arnaud Latrèche, adjoint au directeur de la commande publique et de la valorisation immobilière du département de la Côte-d'Or et vice-président de l'AAP
Focus
Une initiative qui ouvre la voie
Breizh Small Business Act, association qui regroupe professionnels publics et privés autour des enjeux liés à l'achat public en Bretagne, est à l'origine du portail régional d'informations et de données ouvertes de marché My Breizh Open Data - Marchés Publics. Ce dernier a pour objectif de fournir un état des lieux de la commande publique bretonne en identifiant les donneurs d'ordre, les opérateurs
économiques, de recenser les marchés publics attribués par segment d'activité, en fonction des montants engagés et mandatés par exercice et sur la durée du marché concerné. Par ses analyses, la plateforme vise à l'amélioration et à la performance des politiques d'achats et à favoriser l'accès des entreprises bretonnes aux marchés publics par la visibilité qu'elle apporte en termes de veille.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DAT
Copyright 2017 Décision Achats
tous droits réservés
283 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Jeudi 23 Novembre 2017
"Nos principaux usages des données concernent la gestion locative et patrimoniale"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 733 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, l'actuelle CIL et future DPO de Paris Habitat détaille ses chantiers chez le premier bailleur social de la ville de Paris.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de Paris Habitat, de quelle direction dépendez-vous ? Véronique Chatonnier est Correspondante informatique et libertés (CIL) de Paris Habitat © Paris Habitat
Véronique Chatonnier. Je suis de formation juridique et suis correspondante informatique et libertés (CIL) depuis la mi-2012. Je dépends actuellement de la direction des affaires juridiques et de la commande publique de Paris Habitat. Dans le cadre de ma future désignation en qualité de DPO, il est prévu de me rattacher auprès de la DGA en charge de l'innovation, des ressources humaines et des usages numériques.
Quels sont les principaux enjeux de votre action au sein de Paris Habitat ?
Il y a un important travail de sensibilisation et d'adaptation des procédures existantes à effectuer. Il ne s'agit pas simplement d'imposer des procédures mais plutôt d'intégrer la protection des données dans les processus métiers existants. Il est important d'être en phase avec les objectifs et valeurs portés par l'entreprise comme la confiance et la qualité de service.
Quelles premières mesures avez-vous prises à votre arrivée ?
D'abord me faire connaître en tant que CIL auprès des collaborateurs de Paris Habitat. J'ai notamment créé un espace dédié dans l'intranet du groupe ainsi qu'une vidéo de sensibilisation de quatre minutes disponible sur le site et présentée à tout nouvel arrivant. Ensuite, j'ai très rapidement traité les principes de base de la conformité des données à savoir les formations préalables (registre, demandes d'autorisations), le traitement des zones de commentaires, la durée de conservation des données, les mesures de traçabilité, etc.
J'ai aussi créé des référentiels métiers spécifiques par rapport à leurs missions (gardiens d'immeubles, gestionnaires locatifs). Il y a, de ce point de vue, une difficulté parfois à interpréter la loi. On se demande par exemple : combien de temps conserver les données ou les documents papier ? Sous quel format ? Qui peut y avoir accès ? Etc. Par ailleurs la Cnil a élaboré en 2014 un pack de conformité sectoriel dédié au logement social qui est un outil de référence pour la profession.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Même si la loi est parfois difficile à interpréter, nous sommes très vigilants sur la protection de ces données"
Je m'appuie sur notre site Intranet "le blog du CIL" qui dispose d'une documentation avec une double entrée, soit thématique (durée de conservation, tiers et sous-traitant, données de santé), soit métier (gestionnaire locatif, gérant, gardiens d'immeuble). Par ailleurs, je dispose d'un référent dans chacune de nos vingt-deux agences. Ce référent a essentiellement un rôle de relais. Ensuite, j'informe de mes actions et projets au sein du comité informatique et libertés composé de l'ensemble des directeurs de Paris Habitat. Enfin, j'insère mes interventions autant que possible au sein des réunions des directions métiers.
Quel usage spécifique faites-vous des données dont vous disposez ?
Nos principaux usages des données concernent la gestion locative et patrimoniale, y compris la gestion des attributions, le contentieux et le suivi social, ainsi que la gestion des ressources humaines et la relation avec nos fournisseurs. Même si la loi est parfois difficile à interpréter, nous sommes très vigilants sur la protection de ces données ainsi que sur leur fondement légal.
Quels sont vos principaux chantiers à venir ?
Très clairement la mise en conformité avec le Règlement général sur la protection des données (RGPD). Il nous oblige à revoir et adapter certaines procédures et à sécuriser toujours davantage les données personnelles dans notre système d'information (SI). Nous sommes au milieu du gué car si un premier travail de rédaction a été réalisé, nous débutons actuellement la validation et la mise en ½uvre d'un certain nombre de politiques et de procédures prévues par le RGPD comme les procédures d'incidents informatiques, de violation des données à caractère personnel, d'analyse d'impact sur la vie privée ou encore d'alerte professionnelle.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 23 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
284 of 500 DOCUMENTS
Le Figaro
Jeudi 23 Novembre 2017
Nouveaux ennuis en vue pour Uber après un piratage géant;
L'entreprise a dissimulé le vol des données de 57 millions de clients et chauffeurs.
AUTEUR: Braun, Elisa
RUBRIQUE: ENTREPRISES; Pg. 25 N° 22795
LONGUEUR: 678 words
INTERNET
Trois mois seulement après sa nomination, le nouveau PDG d'Uber affronte une nouvelle crise. Dara Khosrowshahi, qui a remplacé le tumultueux Travis Kalanick à la tête de l'entreprise, a reconnu mardi qu'Uber avait été victime en octobre 2016 d'une faille de sécurité massive, compromettant les données de 57 millions d'utilisateurs dans le monde. Surtout, Uber a admis avoir tout fait pour étouffer l'affaire. Travis Kalanick, le cofondateur et ancien PDG de la société, a ainsi appris la nouvelle en novembre dernier. Avec son aval, le directeur de la sécurité de l'entreprise, Joe Sullivan, a payé 100 000 dollars (85 000 euros) aux hackers afin qu'ils suppriment les données volées et ne divulguent pas cet incident. « Rien de tout cela n'aurait dû arriver, et je ne vais pas me chercher d'excuses », réagit Dara Khosrowashi, qui jure n'avoir appris les détails de cette gestion de crise que très récemment. Depuis ces révélations, Joe Sullivan et un juriste de l'entreprise ont été licenciés.
La filiale française d'Uber affirme ne pas connaître le nombre de clients ou chauffeurs français qui pourraient avoir été victimes. Les équipes ont actuellement pour priorité de collaborer avec les différents régulateurs et instances gouvernementales, fait savoir l'entreprise.
Plusieurs enquêtes
Cette nouvelle affaire plonge Uber dans une mauvaise passe. Pour dérober ces précieuses données (qui peuvent être revendues sur Internet et utilisées à des fins criminelles), deux individus ont infiltré les échanges d'ingénieurs d'Uber sur Github, un site Internet collaboratif autour du code. Ils y ont trouvé les accès aux services d'hébergement de données utilisés par Uber chez Amazon Web Services. « En un sens, les clés du royaume étaient offertes à quiconque accédait aux informations d'Uber sur GitHub », explique Kenneth White, chercheur en cybersécurité. « Ni Amazon ni Github ne sont en cause. C'est comme si Uber avait simplement écrit son mot de passe sur un post-it. » Les données volées comportent les noms des utilisateurs, leurs adresses électroniques et leurs numéros de téléphone portable. Les données bancaires, numéros de Sécurité sociale ou encore l'historique des trajets ne seraient pas concernés, selon Dara Khosrowshahi, qui affirme avoir mandaté des experts externes pour s'en assurer. L'entreprise soutient également qu'elle a obtenu des preuves de la suppression de données, et promet qu'elle va repenser ses pratiques de cybersécurité avec l'aide d'un ancien conseiller de l'agence de renseignement américaine, la NSA.
Uber va devoir répondre de ce nouveau scandale devant la justice, avec laquelle l'entreprise a déjà beaucoup de démêlés. Le procureur général de l'État de New York, Eric Schneiderman, a ouvert une enquête. « Il n'y a aucune loi protégeant les consommateurs à l'échelle fédérale, qui obligerait Uber à notifier des failles de ce type, expliquent Kari M. Rollins et Karl Buhler, respectivement associée et juriste au cabinet Sheppard, Mullin, Richter & Hampton à New York. Tout va se jouer au niveau des 48 États américains, où il n'est pas certain que ce type de faille soit systématiquement condamné. » Les victimes tentées par un recours collectif devront quant à elles prouver la recevabilité juridique de leur dossier, avant d'espérer une compensation.
En Europe, le régulateur des données personnelles britannique a également ouvert une enquête. En France, la Commission nationale informatique et liberté (Cnil) ne s'est pour l'instant pas exprimée mais pourrait, selon les plaintes de consommateurs, procéder à des contrôles. Les manquements d'Uber en matière de protection des données ont toutefois de fortes chances d'avoir été corrigés depuis le hack. Le fait de ne pas avoir prévenu les autorités n'est pas non plus un motif de sanction pour une faille et une entreprise de ce type. Mais à partir de mai prochain, avec le règlement pour la protection des données personnelles (RGPD), elles seront obligées de notifier les régulateurs et, dans certains cas, leurs utilisateurs, sous peine d'amendes colossales.
DATE-CHARGEMENT: 22 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: L'APPLI UBER, ILLUSTRATION
Sébastien SORIANO/Le Figaro
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
285 of 500 DOCUMENTS
Le Figaro Économie
Jeudi 23 Novembre 2017
Nouveaux ennuis en vue pour Uber après un piratage géant
AUTEUR: Braun, Elisa
RUBRIQUE: ENTREPRISES; Pg. 25 N° 22795
LONGUEUR: 678 mots
INTERNET Trois mois seulement après sa nomination, le nouveau PDG d'Uber affronte une nouvelle crise. Dara Khosrowshahi, qui a remplacé le tumultueux Travis Kalanick à la tête de l'entreprise, a reconnu mardi qu'Uber avait été victime en octobre 2016 d'une faille de sécurité massive, compromettant les données de 57 millions d'utilisateurs dans le monde. Surtout, Uber a admis avoir tout fait pour étouffer l'affaire. Travis Kalanick, le cofondateur et ancien PDG de la société, a ainsi appris la nouvelle en novembre dernier. Avec son aval, le directeur de la sécurité de l'entreprise, Joe Sullivan, a payé 100 000 dollars (85 000 euros) aux hackers afin qu'ils suppriment les données volées et ne divulguent pas cet incident. « Rien de tout cela n'aurait dû arriver, et je ne vais pas me chercher d'excuses », réagit Dara Khosrowashi, qui jure n'avoir appris les détails de cette gestion de crise que très récemment. Depuis ces révélations, Joe Sullivan et un juriste de l'entreprise ont été licenciés. La filiale française d'Uber affirme ne pas connaître le nombre de clients ou chauffeurs français qui pourraient avoir été victimes. Les équipes ont actuellement pour priorité de collaborer avec les différents régulateurs et instances gouvernementales, fait savoir l'entreprise.
Plusieurs enquêtes
Cette nouvelle affaire plonge Uber dans une mauvaise passe. Pour dérober ces précieuses données (qui peuvent être revendues sur Internet et utilisées à des fins criminelles), deux individus ont infiltré les échanges d'ingénieurs d'Uber sur Github, un site Internet collaboratif autour du code. Ils y ont trouvé les accès aux services d'hébergement de données utilisés par Uber chez Amazon Web Services. « En un sens, les clés du royaume étaient offertes à quiconque accédait aux informations d'Uber sur Git Hub », explique Kenneth White, chercheur en cybersécurité. « Ni Amazon ni Github ne sont en cause. C'est comme si Uber avait simplement écrit son mot de passe sur un post-it. » Les données volées comportent les noms des utilisateurs, leurs adresses électroniques et leurs numéros de téléphone portable. Les données bancaires, numéros de Sécurité sociale ou encore l'historique des trajets ne seraient pas concernés, selon Dara Khosrowshahi, qui affirme avoir mandaté des experts externes pour s'en assurer. L'entreprise soutient également qu'elle a obtenu des preuves de la suppression de données, et promet qu'elle va repenser ses pratiques de cybersécurité avec l'aide d'un ancien conseiller de l'agence de renseignement américaine, la NSA.Uber va devoir répondre de ce nouveau scandale devant la justice, avec laquelle l'entreprise a déjà beaucoup de démêlés. Le procureur général de l'État de New York, Eric Schneiderman, a ouvert une enquête. « Il n'y a aucune loi protégeant les consommateurs à l'échelle fédérale, qui obligerait Uber à notifier des failles de ce type, expliquent Kari M. Rollins et Karl Buhler, respectivement associée et juriste au cabinet Sheppard, Mullin, Richter & Hampton à New York. Tout va se jouer au niveau des 48 États américains, où il n'est pas certain que ce type de faille soit systématiquement condamné. » Les victimes tentées par un recours collectif devront quant à elles prouver la recevabilité juridique de leur dossier, avant d'espérer une compensation.En Europe, le régulateur des données personnelles britannique a également ouvert une enquête. En France, la Commission nationale informatique et liberté (Cnil) ne s'est pour l'instant pas exprimée mais pourrait, selon les plaintes de consommateurs, procéder à des contrôles. Les manquements d'Uber en matière de protection des données ont toutefois de fortes chances d'avoir été corrigés depuis le hack. Le fait de ne pas avoir prévenu les autorités n'est pas non plus un motif de sanction pour une faille et une entreprise de ce type. Mais à partir de mai prochain, avec le règlement pour la protection des données personnelles (RGPD), elles seront obligées de notifier les régulateurs et, dans certains cas, leurs utilisateurs, sous peine d'amendes colossales.
DATE-CHARGEMENT: 22 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: L'APPLI UBER, ILLUSTRATION
Sébastien SORIANO/Le Figaro
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
286 of 500 DOCUMENTS
Le Cercle
jeudi 23 novembre 2017
Réglementation européenne des données personnelles : profitez de cette opportunité pour nettoyer votre CRM
AUTEUR: Jean-Eloi Pénicaut
RUBRIQUE: ARTICLE; Il n'est pas rare que les contacts personnels de clients soient à disposition des entreprises
LONGUEUR: 800 mots
ENCART: Le 24 mai 2018 marquera la fin de la période de transition accordée aux organisations pour se conformer au Règlement Général sur la Protection des Données (RGPD), entré en vigueur en 2016. Ce règlement européen renforce et élargit les principes en vigueur en France depuis la loi "Informatique et liberté" de 1978 et la directive européenne de 1995.
Le RGPD renforce la responsabilité des organisations (et donc les sanctions liées) sur les usages des données à caractère personnel, qui doivent obéir notamment aux règles suivantes, déjà affirmées dans les textes précédents* :
· "Elles sont collectées pour des finalités déterminées, explicites et légitimes"
· "Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs"
· "Elles sont exactes, complètes et, si nécessaire, mises à jour"
· "Elles sont conservées [...] pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées"
C'est peut-être l'occasion de s'interroger sur la légitimité de certaines données couramment présentes dans les bases de données des outils de gestion de la relation client (CRM).
Il n'est pas rare que les contacts personnels de clients soient à disposition des entreprises
Lors des projets de mise en place d'outils CRM, les représentants des utilisateurs (essentiellement des commerciaux) et le management accordent souvent une valeur très forte aux données personnelles des contacts, clients ou prospects. Par exemple, il arrive que les commerciaux disposent des numéros de téléphone ou des e-mails personnels de leurs clients, pour de multiples raisons (bonnes relations, travail à domicile, perte ou oubli du téléphone professionnel...). Alors, pourquoi ne pas les stocker dans le système ? D'ailleurs, les champs "téléphone personnel" et "e-mail personnel" sont prévus par l'outil !
Quand bien même cette information ne serait disponible que dans 3 % des cas, quasiment jamais utilisée ni mise à jour, il est difficile de convaincre les utilisateurs de ne pas la stocker. De même, les sujets liés à la durée de vie des données (tri, suppression, archivage) sont souvent au dernier niveau de priorité dans les projets. C'est un peu le syndrome du grenier. Quand on a de la place, on range les objets inutilisés au grenier, parce que "ça pourrait servir un jour". Or la place, dans les systèmes informatiques, ne coûte quasiment rien pour ce type de données.
Mais les organisations sont responsables de ces données personnelles : sont-elles protégées ?
Le terme "données personnelles" recouvre un périmètre très large : concrètement, toute information permettant d'identifier une personne physique. Il faut désormais justifier la conservation de ces données, les maintenir à jour et assumer la responsabilité des conséquences en cas d'accident (fuite de données, mauvais usage, etc.). Le jeu en vaut-il la chandelle ? Le RGPD est une très bonne occasion de lancer une réflexion sur le "grenier" de vos outils CRM : quel est le taux d'usage des données stockées ? Quand sont-elles mises à jour ? À quoi servent-elles réellement ?
La plupart des outils offrent la possibilité de récupérer des traces assez précises et d'établir des statistiques. Sur la base de ces informations, vous pourrez alors entamer une discussion entre les utilisateurs, la maîtrise d'ouvrage et les personnes en charge des données (Correspondant Informatique et Libertés, Data Privacy Officer, Responsable de la Sécurité du SI) pour évaluer ensemble la nécessité de stocker puis de conserver les données à caractère personnel de vos clients, prospects, partenaires, fournisseurs, etc. Ensuite, vous pourrez nettoyer les bases et adapter les outils. Cette démarche vaut pour les outils en place comme pour les outils à venir : la migration des données d'un ancien système vers un nouveau est une opportunité à saisir pour passer un "coup de balai" salutaire.
Il y a un véritable enjeu de conduite du changement. La perception de la valeur de la donnée est plus évidente que celle du risque lié à sa possession. Au-delà de la contrainte réglementaire, on peut faire appel à la prise de conscience qui s'opère aujourd'hui chez chacun d'entre nous, en tant que citoyen et consommateur : souhaitons-nous que nos informations personnelles soient stockées indéfiniment par des entreprises ou d'autres organismes avec lesquels nous n'avons pas ou plus de rapports ?
*Article 6 de la Loi Informatique et Liberté de 1978 et de la Directive européenne 95-46.
** Définition d'une donnée à caractère personnel selon le RGPD : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
DATE-CHARGEMENT: 1 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
287 of 500 DOCUMENTS
Le Cercle
jeudi 23 novembre 2017
Régulation de la data, vers une civilisation sûre et prospère
AUTEUR: Habib Guergachi
RUBRIQUE: ARTICLE; À l'instar de la monnaie, la data est enfin contrôlée
LONGUEUR: 1116 mots
ENCART: Le RGPD est bien plus qu'un règlement éminemment technique. Il est à la fois la reconnaissance du danger de l'utilisation abusive de la donnée, le symbole de la consécration de la data en tant que monnaie et le fondement d'une future politique européenne (et souhaitons-le, mondiale) porteuse d'une économie digitale régulée par ce que nous appelons la datability.
À l'instar de la monnaie, la data est enfin contrôlée
Le 14 avril 2016, le Parlement européen adopte le règlement européen sur la protection des données. Dans moins de 6 mois, il devra être compris et appliqué par l'ensemble des acteurs européens impliqués dans le traitement des données à caractère personnel.
Est-ce que déjà en 2012, les membres de la Commission européenne mesuraient l'impact qu'aurait un jour leur initiative ? Est-ce qu'en 2013, les eurodéputés Jan Philipp Albrecht ou Dimitrios Droutsas de la commission des libertés civiles savaient qu'ils écrivaient une nouvelle page de nos sociétés civilisées, en votant le mandat, donné au Parlement européen, d'entamer de réelles négociations avec les États membres et de faire de la protection des données une question fondamentale pour tous ?
Non, peut-être pas. Pas à l'époque. Ce fut pourtant toutes ces nombreuses pierres à l'édifice qui ont aujourd'hui contribué à produire un texte qui marque l'année 0 de la data monnaie. Et avec elle vient le concept de databilité ou s'il faut sa traduction anglaise, de datability, au même titre que nous disposons d'une comptabilité de nos flux financiers mondiaux et portons la responsabilité de sa conformité, ou accountability.
Or justice est bien mal rendue à ce règlement qui est aujourd'hui sur toutes les lèvres, pour sa difficulté de mise en oeuvre et ses aspects opaques. Bien au-delà des contraintes techniques qu'il exige, il marque notre sortie définitive d'une exploitation moyenâgeuse de la donnée. Nous entrons dans une période de renaissance où la sophistication de nos moyens de régulation est mise au service des hommes.
Régulation, conformité, le flux de data est tel un flux financier
La réglementation financière exige de toute entreprise qu'elle puisse démontrer la réalité et la sincérité de ses comptes. Compliance et due diligence oeuvrent de concert pour des flux financiers de confiance. Les normes IFRS ont vu le jour quand le manque de transparence des informations a conduit à l'un des plus gros scandales de ces 20 dernières années. Le règlement européen dont nous parlons aujourd'hui n'est ni plus ni moins que l'équivalent des normes IFRS appliqué à la donnée.
Demain, si ce n'est dès aujourd'hui, les entreprises auront le devoir de tenir une comptabilité sincère de leur compte de data, de produire les historiques capables de justifier l'utilisation de chaque donnée, comme l'on doit pouvoir justifier chaque devise. De nouveaux métiers vont apparaître, c'est une certitude. Des professionnels de l'audit, des comptables de la data. Celui que l'on nomme le RGPD introduit un paysage réglementaire visant à contrôler, auditer, surveiller une nouvelle monnaie qui, dans une déréglementation hors contrôle, présente un risque humain que nous ne voulons pas courir.
Valeur humaine, valeur de la data
Nous nous demandions si les rapporteurs en 2013 avaient pleinement conscience des impacts de leurs travaux dans un futur proche. C'est oublier que ce règlement de 2016 porte en son nom les valeurs européennes qu'il cherche à défendre. Il s'agit en substance du Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Deux points primordiaux doivent donc être mis en exergue.
D'une part, le règlement traite de la protection des personnes physiques. Il s'agit bien de protéger chacun de nous d'un usage abusif qui peut être fait de nos données et de ses conséquences désastreuses sur la vie sociale, la vie professionnelle, l'équilibre psychologique, la santé. Contrairement à ce que d'aucuns pensent, toutes les données d'un système d'information sont issues d'une même graine, la donnée privée. À ce titre, il existe un risque majeur d'inférence, à partir d'une simple donnée induite.
Il n'y a pas 36 façons de s'en protéger. Tout comme l'on passe une voiture aux mines pour s'assurer qu'elle ne présente pas de danger, tout comme l'on contrôle la conformité de l'information financière pour ne pas conduire de petits porteurs à la ruine, l'exploitation de la donnée doit être régulée. Et sera régulée. Aussi surprenant que cela paraisse.
D'autre part, le règlement ne perd pas de vue la valeur de la donnée, traitée sous l'angle de sa libre circulation. Si l'on peut regretter que ses auteurs n'aient pas saisi l'occasion d'aller plus loin, le règlement porte, avec la traçabilité de la donnée, le germe d'une taxation efficace et exhaustive de sociétés internationales jusqu'ici proprement insaisissables.
Alors que nous nous appuyons encore sur le principe du siège social, de l'établissement fixe, avec pour résultat une fiscalité amputée de milliards d'euros, la traçabilité de la donnée permettra à terme d'établir le concept de l'individu fixe, celui sur lequel la donnée est prélevée et à ce titre, taxable dans le pays de résidence. Ceci avec, pourquoi pas, des douaniers de la donnée (dataniers), affectés à la recherche de données circulant illégalement compte tenu de leur nature ou des traitements qu'elles ont subis.
Civilisation de la data
Data auditeur, Data expert - data comptable, data douanier, imaginons la quantité d'emplois que ce secteur va générer. Et pourquoi pas une TTA pour Taxe sur Traitement Ajouté, qui sait ? La DONNAIE, cette data monnaie en devenir (au sens législatif) recèle encore un attribut, et non des moindres, dont l'impact sera retentissant sur l'économie numérique : celui de son émission.
La création et la destruction de data devraient être encadrées par des établissements autorisés. Parce que nous ne sommes pas tous admis à émettre de la monnaie, nous ne devrions pas l'être à produire de la donnée personnelle exploitable. Or, à ce jour, c'est bien ce qu'il se passe. Nous les appelons les logiciels et les développeurs fous, producteurs, extracteurs de données personnelles sans limites, ni de sens, ni d'usage.
Nous n'en sommes malheureusement qu'aux balbutiements, mais nous savons déjà que la réglementation entrant en vigueur en mai 2018 aura pour effet de freiner ce développement incontrôlé, en imposant aux entreprises de maîtriser l'ensemble des méta-données de chaque donnée manipulée et en n'autorisant les développements qu'à partir d'un catalogue de données légalement autorisé. Puis, rapidement, viendront les normes internationales.
Nous nous dirigeons vers une économie numérique faite de technologies plus intelligentes et plus éthiques, plus probes aussi. La donnée perdra son aspect dangereux quand tous les acteurs de la société sauront avec précision les limites de son usage. L'Europe vient de faire un pas de géant en semant les graines d'un nouveau marché et d'une nation civilisée de la donnée.
DATE-CHARGEMENT: 1 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
288 of 500 DOCUMENTS
Les Echos
jeudi 23 novembre 2017
Rien n'arrête la société de gestion d'identités Forgerock
AUTEUR: ANAELLE GRONDIN
RUBRIQUE: ARTICLE; Boom de l'IoT; Pg. 24 N°. 22578
LONGUEUR: 538 mots
ENCART: L'entreprise américaine a levé plus de 140 millions d'euros en sept ans.Spécialisée dans la gestion d'identités numériques, elle veut tirer parti de la nouvelle réglementation européenne sur la protection des données.
Tous les voyants sont au vert pour Forgerock. La société américaine qui édite une plate-forme de gestion d'identités depuis sept ans a enregistré environ 100 millions de dollars de chiffre d'affaires en 2016, travaille avec 600 multinationales (comme Société Générale ou Renault en France) ainsi que plusieurs gouvernements (à l'instar de la Norvège, de la Belgique et de la Nouvelle-Zélande) et continue de séduire de nombreux investisseurs.
En septembre, Forgerock a bouclé une levée de fonds de série D de 88 millions de dollars menée par Accel, portant les capitaux investis dans l'entreprise à plus de 140 millions depuis sa création.
Boom de l'IoT
Concrètement, la société propose aux grandes entreprises des outils leur permettant d'évaluer en continu l'authenticité des utilisateurs, des appareils et des objets connectés. La technologie de Forgerock peut être déployée dans des véhicules connectés ou des applications mobiles, par exemple, lorsqu'il y a un besoin d'identification. Le boom de l'Internet des objets exige ainsi une utilisation accrue de ce genre de solutions aujourd'hui.
Forgerock dit gérer environ un milliard d'identités à ce jour. Et, pour convaincre toujours plus de grands comptes d'utiliser ses outils, face notamment à la concurrence des entreprises Ping Identity et Okta, qui s'est introduit en Bourse plus tôt cette année, Forgerock vient d'annoncer la sortie d'un « tableau de bord » pour donner la possibilité à ses clients de mettre leurs produits et services en ligne en conformité avec le futur règlement général sur la protection des données (RGPD).
« L'expérience client, nerf de la guerre »
A compter du 25 mai 2018, toute entreprise traitant avec des citoyens de l'Union européenne devra leur donner le contrôle sur leurs données personnelles.
Ce que promet le nouveau « tableau de bord » de Forgerock, intégré à ses produits. « On veut fournir des solutions pour que les entreprises puissent demander leur consentement aux utilisateurs, permettre aux consommateurs de faire du 'opt in' [donner leur accord au préalable] ou du 'opt out' [se désabonner d'un service a posteriori] et traquer l'utilisation de leurs données personnelles », explique Michael Ellis, le PDG de Forgerock, venu à Paris cette semaine pour présenter les nouveautés de sa plate-forme.
Au-delà des amendes, qui peuvent être salées en cas de non-respect du règlement européen, il s'agit aussi pour les firmes d'être plus compétitives, selon l'équipe dirigeante de Forgerock, qui en fait désormais un axe de communication majeur.
Ismet Geri, vice-président Europe du Sud et Benelux de la start-up américaine, souligne : « Les entreprises ont besoin de pouvoir mettre en service de nouvelles applications très rapidement pour se différencier de leurs concurrents. L'expérience client devient le nerf de la guerre. » Il estime que les sociétés qui se distingueront en tant que gestionnaires responsables de données personnelles « rafleront la mise ».
Dans les mois à venir, Forgerock, actuellement présent dans 22 pays, a l'intention de s'implanter sur de nouveaux marchés, à travers l'Europe mais aussi en Asie. La start-up de 500 salariés prépare également une entrée en Bourse, envisagée pour 2019.
DATE-CHARGEMENT: 23 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
289 of 500 DOCUMENTS
Acteurs publics
22 novembre 2017
État et industries font cause commune sur la cybersécurité
RUBRIQUE: ACTUALITES
LONGUEUR: 964 mots
Un G7 en 2019, la coupe du monde de rugby en 2023, les Jeux Olympiques en 2024 et peut-être l'Exposition universelle en 2025... « Nous entrons dans une séquence où de grands événements mettront en valeur notre pays et où la menace terroriste ne reculera pas », avertit Pascal Bolot, directeur de la protection et sécurité de l'État au secrétariat général de la défense et de la sécurité nationale (SGDSN), lors du salon Milipol, l'événement mondial de la sécurité intérieure des États, à Villepinte, le 21 novembre.
« Aussi nous allons resserrer les mailles du filet dans un certain nombre de domaines », ajoute le préfet. A cet effet, le SGDSN et l'Anssi « travaillent actuellement sur des scenarii excessifs où des puissances étrangères prennent possession de nos réseaux ». Cybersécurité, sécurité aéroportuaire, biométrie... Toutes les technologies sont une porte d'entrée possible pour des assaillants de l'ère numérique.
Dialogue public-privé rénové
Protéger la nation tout en promouvant l'innovation industrielle dans la sécurité, c'est précisément la mission du comité de la filière industrielle de sécurité (Cofis), créé en octobre 2013 et coprésidé par Louis Gautier, SGDSN et Pascal Faure, Directeur général des entreprises (DGE).
Sous la houlette de l'État, s'est instauré « un dialogue public rénové » qui a permis en trois ans d'inverser un paradigme, selon Thierry Delville, délégué aux industries de sécurité et à la lutte contre les cybermenaces au ministère de l'Intérieur : arrêter de considérer que la sécurité est facteur de coût mais la concevoir comme un immense terrain d'innovation.
La filière industrielle de sécurité pèse 30 milliards d'euros au plan national dont 50 % sont réalisés à l'export. Elle représente 300 000 emplois marchands et près de 600 000 emplois publics.
« La filière existe et mieux encore, elle grandit », se félicite Loïc Duflot, sous-directeur des réseaux et des usages numériques à la DGE. L'objectif fixé au Cofis est, d'ici 2025, de doubler le chiffre d'affaires des industries de sécurité, soit passer de 30 à 60 milliards d'euros, mais aussi de créer 75 000 nouveaux emplois qualifiés. Quant au taux de croissance de l'export, il doit être encore plus dynamique que le taux de croissance national.
La France comme leader mondial
« Nous nourrissons cinq ambitions », détaille Loïc Duflot : que la France devienne le meilleur environnement européen pour accueillir et développer des startups, qu'elle soit un des leaders mondiaux de l'internet des objets et également des safe cities, que la marque France se développe à l'étranger et enfin, que notre pays soit moteur pour forger une autonomie européenne sur les segments clés de sécurité.
Des objectifs très ambitieux que Marc Darmon, président du Conseil des industries de la confiance et de la sécurité (Cics), considère pourtant comme « réalistes et cohérents avec les perspectives de menaces ». « Nous avons de grands atouts, des acteurs nationaux qui sont des leaders mondiaux comme dans le domaine du paiement sécurisé, de la sécurité urbaine, de la biométrie », illustre-t-il.
« Opportunité d'accélérateur d'innovation et de vitrine à l'international », les Jeux Olympiques de 2024 à Paris vont être un premier challenge pour le Cofis, reprend Thierry Delville. La compétition va drainer pas moins de 17 000 athlètes et 2,5 à 3 millions de visiteurs pendant trois mois, avec les événements associés. « Plus de 100 000 agents de sécurité seront mobilisés [dont plus de la moitié en provenance de la sécurité privée (55 000), ndlr.] et 3000 kilomètres de voies seront à sécuriser. »
Basculer vers une sécurité numérique
« La manière de partager l'information entre tous ces agents est un vrai enjeu », ajoute le délégué aux industries de sécurité et à la lutte contre les cybermenaces. Lequel affiche la couleur : « Nous allons faire la bascule entre une sécurité humaine (manpower) et une sécurité plus numérique, une approche plus intégrée de la technologie, dans la transparence et le respect des données personnelles. » Certes, Thierry Delville reconnaît que le règlement européen sur la protection des données personnelles (RGPD) qui entre en application en mai 2018 « nous aura un peu aidés en amont. Mais c'est aussi un objectif industriel majeur de parvenir à faire cette bascule », souligne-t-il.
C'est donc « une organisation dynamique » qui doit être impulsée et assez vite, car « 7 ans cela paraît lointain mais le temps de faire le tour d'horizon des besoins, de définir les périmètres, de lancer des réflexions pour constater que des technologies ne sont sans doute pas disponibles tout de suite » et il pourrait être déjà trop tard.
Une perte de souveraineté inimaginable
De son côté, le directeur de la protection et sécurité de l'État Pascal Bolot, se veut rassurant : 27 « technologies critiques de sécurité » ont été recensées grâce aux travaux du Cofis depuis 2013. Ces technologies essentielles et sensibles à la mise en oeuvre de missions de sécurité se distinguent car peuvent peser sur elles des risques de maîtrise. « Les risques de nature diverse, précise Pascal Bolot : un nombre très restreint de fournisseurs, une rentabilité insuffisante, une éventuelle prise de contrôle capitalistique, une perte de savoir-faire, l'absence de technologie alternative ou de contournement... »
Pour ne laisser poindre aucune incertitude, le Cofis s'engage à suivre et à soutenir les PME qui ont conçu ces technologies si elles venaient à être fragilisées. « Etre capable de développer des sondes de détection, élaborer un système complet de contrôle d'accès ou un système de radio privée sont autant systèmes qui méritent d'être protégés et pour lesquels il est inimaginable d'envisager une perte de souveraineté », conclut le directeur de la protection et sécurité de l'État.
DATE-CHARGEMENT: 22 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Société d'édition publique
Tous droits resérvés
290 of 500 DOCUMENTS
Aujourd'hui en France
mercredi 22 novembre 2017
Piratage massif chez Uber : les questions qui se posent
AUTEUR: Damien Licata Caruso
LONGUEUR: 990 mots
C'est un clou de plus dans les pneus d'Uber. Déjà confrontée à la mise sur la touche de son turbulent fondateur, Trevis Kalanick, et à une hémorragie de départs de ses dirigeants, la célèbre start-up plonge un peu plus dans la crise.
Nommé en août dernier, son PDG Dara Khosrowshahi a révélé mardi que les données de 57 millions d'utilisateurs à travers le monde, dont celles de 600 000 chauffeurs, ont été piratées fin 2016. Les noms des utilisateurs ainsi que leurs adresses électroniques et numéros de téléphone mobile ont été subtilisés.
Sur la base d'expertises externes, le patron de l'entreprise de VTC a affirmé que l'historique des trajets, les numéros de cartes et de comptes bancaires, les numéros de sécurité sociale et les dates de naissance des utilisateurs et chauffeurs n'auraient en revanche pas été piratés.
Cette fuite de données massives, malheureusement pas inédite, laisse entrevoir des questions cruciales.
> Comment les hackers se sont emparés d'autant de données ? L'ampleur du vol pose évidemment la question de la protection des bases clients du géant américain. Deux individus ne faisant pas partie de l'entreprise seraient responsables de ce piratage selon Uber. Ils ont pénétré dans un «cloud» (serveur dématérialisé) utilisé par l'entreprise et ont téléchargé ces informations.
La faille de sécurité proviendrait d'un accès au serveur externe non autorisé par les pirates qui y ont eu accès grâce à un compte Github privé où était stocké le code source - le programme informatique central. Les «hackers» ont ensuite remonté ces codes de l'outil de développement afin de trouver le mot de passe qui ouvrait l'accès au serveur. Ils n'ont plus eu qu'à télécharger les données.
Selon le New York Times, Uber a retrouvé les pirates afin d'acheter leur silence et leur a même fait signer un contrat de non divulgation en échange de 100 000 dollars (85 000 euros). En faisant passer cette transaction pour un «bug bounty», une pratique assez classique où une récompense est attribuée pour avoir signalé une faille de sécurité dans une application ou un site Internet.
> S'agit-il bien d'un bug bounty» et pourquoi avoir payé 100 000 dollars ? «Le problème n'est pas lié à un bug mais bien à une erreur humaine lié à un manque de contrôle des accès aux serveurs», explique Julien Cassignol , expert chez Balabit, une société hongroise spécialisée dans la sécurité des accès aux serveurs informatiques.
«La somme déboursée est un moyen d'éloigner les pirates car un « bug bounty» se négocie à peine 5000 euros chez Facebook et une rançon pour autant de données vaut plutôt dans les 3 millions de dollars», affirme l'expert en cybersécurité.
> Quel impact pour les utilisateurs français ? Contacté, Uber France indique :«nous sommes en train de notifier les autorités de régulations et gouvernementales. Les discussions sont en cours et nous ne donnerons pas plus de détails tant qu'elles se poursuivent».
Les employés français n'auraient été mis au courant que la nuit dernière via le post sur le blog officiel du patron. Comme de nombreuses entreprises de la Silicon Valley, Uber est allergique à la divulgation de chiffres sur ses clients. Si les données de 57 millions de comptes ont été compromises, impossible de savoir combien d'utilisateurs hexagonaux sont concernés.
«On ne le saura jamais», avoue dépité un expert en sécurité informatique.
> Uber cache-t-elle l'ampleur du piratage ? Faisant son mea culpa, Dara Khosrowshahi a souligné qu'il s'était interrogé sur le fait que l'information n'ait été relayée qu'un an après les faits. Il estime sur le blog officiel en outre que l'entreprise a failli en n'informant pas immédiatement les victimes de ce piratage ainsi que les autorités.
L'ancien patron débarqué en juin, Travis Kalanick, aurait lui été averti du piratage qui a coûté sa place à Joe Sullivan, le monsieur Sécurité dont la belle réputation acquise chez Facebook a volé en éclats.
«Il se sentent un peu merdeux» explique trivialement un spécialiste du secteur. «Ils auraient pu réagir plus tôt si ils avaient eu un système de contrôle des accès à leurs serveurs les plus sensibles», assure-t-il.
L'entreprise californienne assure que les données les plus sensibles comme les coordonnées bancaires n'étaient pas stockées avec les adresses mails mais cela semble dur à croire.
L'absence de chiffrement de toutes ces données posent aussi la question du dégré de sécurité autour d'elles. Sollicité pour expliquer sa gestion de ses bases de données, Uber France n'a pas donné suite.
> Que risque Uber après ce piratage ? Pour l'instant, à part une perte de l'estime de ses clients et des chauffeurs, pas grand chose pour l'instant. La valorisaiton théorique d'Uber à hauteur de 70 milliards de dollars - le groupe vaut évidemment moins dans la réalité - pourrait aussi subir un léger repli.
Ce n'est pas une première car en février 2015, Uber avait révélé une violation de sa base de données des permis de conduire de 50 000 chauffeurs. L'amende donnée par l'Etat de New York où Uber est enregistré ? A peine 20 000 dollars.
Mais cette fois le procureur de l'état a annoncé mardi avoir ouvert une enquête sur cet incident. Pis, en obtenant des pirates la destruction des données volées, Uber aurait violé la loi fédérale qui empêche l'effacement de preuves nécessaires à une enquête après un piratage massif.
En Europe, les conséquences judiciaires se font attendre. La directive européenne sur le Règlement général sur la protection des données (RGPD) obligera à partir de mai 2018 les entreprises à notifier les autorités nationales chargées de la protection des données d'une telle fuite «le plus vite possible» soit dans les 72 heures.
En cas de manquement, les amendes seront beaucoup plus dissuassives qu'actuellement. Selon la société Varonis, «Uber pourrait être condamné à une amende pouvant atteindre 260 millions de dollars pour cette infraction (4 % de son chiffre d'affaires de 6,5 milliards de dollars en 2016).»
DATE-CHARGEMENT: 22 novembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: L'entreprise de réservation de VTC est encore une fois sur le gril après un piratage de données qu'elle a tenté de cacher.
REUTERS
TYPE-PUBLICATION: Journal
CODE-REVUE: PAAC
Copyright 2017 Le Parisien Libere
tous droits réservés
291 of 500 DOCUMENTS
IT for Business
22 novembre 2017
Comment faire face à l'explosion des cybermenaces
RUBRIQUE: SÉCURITÉ; Pg. 0064, 0065, 0066, 0067 N° 2222
LONGUEUR: 1574 mots
ENCART: Face à l'éventualité de moins en moins hypothétique des attaques qu'elle aura à subir, l'entreprise doit intégrer le risque cyber comme un risque classique, développer une cyber-culture d'entreprise et industrialiser ses politiques et procédures de sécurité.
Au fil des derniers mois, la cybersécurité est devenue l'un des enjeux les plus importants dans une majorité de comités de direction. Dans un contexte d'ouverture toujours plus importante des systèmes d'information devant sous-tendre la transformation numérique, deux facteurs principaux sont la cause de ce changement. Tout d'abord, la législation européenne sur la protection des données personnelles (RGPD) accélère la prise de conscience. Son application en mai 2018 incite à avancer rapidement. Ensuite, l'actualité des malwares - Wannacry, Petya, Not Petya... - montre que toute entreprise peut en être victime. Et elle oblige les boards à intégrer cette menace aux risques majeurs auxquels l'entreprise doit être préparée.
Comme l'illustre Gilles Berthelot, RSSI Groupe de la SNCF, « de gros efforts de pédagogie ont été nécessaires pour éveiller les consciences des dirigeants. Ce n'est que depuis deux ans que le risque cyber est classé parmi les risques majeurs de notre entreprise, aux côtés des risques industriels et humains. Désormais, le sujet n'est plus simplement un problème de la DSI, mais une préoccupation du Comex. L'actualité nous a permis de mieux parler des enjeux et des conséquences pour le business. La cartographie réalisée par la direction des risques montre que tous les métiers sont devenus dépendants du SI. Seule l'approche top-down permet de pénétrer tous les process de l'entreprise ».
De gros efforts de pédagogie ont été nécessaires. Ce n'est que depuis deux ans que le risque cyber est classé parmi les risques majeurs de notre entreprise.
Hervé Schauer, expert en sécurité, insiste sur l'importance des aspects organisationnels trop souvent sous-estimés, selon lui, y compris financièrement. « La sécurité n'est pas un produit mais un processus », rappelle-t-il.
Selon Michael Bittan, responsable des activités Cyber Risk Services de Deloitte France, « c'est en développant une "culture cybersécurité", étendue à l'ensemble des échelons et des métiers dans le cadre d'une démarche collaborative, que les organisa-tions pourront réellement se protéger des cyber-menaces ».
LE « BON » HACKER EST UN SOCIOLOGUE ET UN PSYCHOLOGUE
La connaissance de la psychologie des victimes et de leurs habitudes est un facteur déterminant dans la réussite des campagnes de phishing et de ransomware. Sans aller jusqu'à une personnalisation très poussée, les hackers peuvent déjà s'appuyer sur des statistiques reconnues. Ainsi, en France, les utilisateurs qui ouvrent les pièces jointes ou les URL contenues dans un e-mail malveillant le font plutôt en début de matinée et avec un pic vers 13h. Sur les 4,6 % des utilisateurs qui cliquent sur ces liens, environ la moitié le font dans la première heure suivant l'expédition. D'autres études montrent que les e-mails malveillants sont surtout envoyés le jeudi, et très peu le dimanche. Pour faire en sorte que les utilisateurs cliquent, le hacker joue sur les ressorts psychologiques (envie, curiosité,...) et en particulier sur la peur, en utilisant par exemple des logos d'agences gouvernementales. Une fois le ransomware activé, les messages affichés sont aussi judicieusement choisis. Ils créent d'abord la panique (horloges qui décomptent, messages en rouge...), et ensuite rassurent (en expliquant comment payer, en proposant même de l'assistance technique), jusqu'à chercher à instaurer une certaine confiance afin de maximiser le nombre de paiements de rançon.
L'organigramme de la sécurité dans l'entreprise subit de profondes modifications. La DSI n'est plus toute puissante dans ce domaine. Par exemple, le RGPD oblige à recenser l'ensemble des projets contenant des données personnelles et à analyser les risques associés. Même s'il dispose à la fois de compétences sécurité, conformité et juridiques, le nouveau responsable des données personnelles (Data Privacy Officer) va devoir s'appuyer sur un réseau de correspondants métiers. Selon Alain Bouillé, président du Cesin, « une grande collaboration entre DPO et RSSI est indispensable, afin de ne pas doublonner les analyses, et éviter aux différents métiers d'avoir à répondre plusieurs fois aux mêmes questions. De plus, beaucoup de pans de l'organisation du RGPD sont déjà pris en compte par le RSSI ».
Pour Gilles Berthelot, « le management par le risque a fait ses preuves dans l'organisation de la sûreté : il sensibilise l'intégralité de la chaîne managériale, des plus hautes instances aux plus basses. En traitant le risque cyber comme un risque classique, il devient possible d'utiliser l'ensemble des processus déjà mis en place et qui ont fait leurs preuves. Ainsi, de la même manière qu'ils le font pour le port du casque et la conformité des machines-outils, les structures Hygiène et Sécurité au Travail deviennent légitimes pour vérifier le bon usage des outils informatiques et l'application des "règles d'hygiène informatique" au quotidien. À la SNCF, chaque entité dispose d'un risk manager. Intégrer le risque cyber à sa palette de compétences simplifie fortement son intégration dans tous les projets et le suivi qui en est fait. Bien entendu, pour évaluer précisément les aspects techniques, le risk manager doit pouvoir s'appuyer sur les RSSI ».
GILLES BERTHELOT RSSI GROUPE DE LA SNCF
La transformation numérique de l'entreprise implique une évolution du rôle du RSSI. Dans un premier temps, à la SNCF, cette fonction était rattachée à la DSI de l'entreprise. Son rôle était opérationnel et non visible de l'équipe dirigeante : il était « à la cale ». En rejoignant la direction des risques, le RSSI change de paradigme, et peut efficacement insuffler ses messages. Enfin, en intégrant la direction de la transformation numérique, il retourne dans l'action, tel un chef de guerre sur le terrain.
Pour obtenir une cyber-résilience ef-ficace, outre les RSSI et les risk managers, Gérôme Billois, senior manager chez Wavestone, rappelle qu'il faut également impliquer deux autres familles d'acteurs. D'une part, les responsables des plans de continuité, capables de gérer les crises, d'imaginer des scénarios et de contrôler les sites de secours. D'autre part les spécialistes de l'assurance, capables de définir le niveau de risque résiduel acceptable et d'estimer les coûts potentiels de telles attaques pour l'entreprise. Et d'ajouter : « parmi nos clients, certaines sociétés disposent désormais d'un comité cyber au niveau du groupe, qui se réunit chaque mois. Sa mission est d'opérer un reporting commun auprès de la direction générale. Mois après mois, le rapport est consolidé, en intégrant les nouveaux risques qui entrent alors dans le radar de la direction générale ».
Alain Bouillé propose également d'appliquer ce concept au niveau des projets. « Aujourd'hui le RSSI a un rôle de plus en plus central, mais a du mal à être sur tous les fronts. Pour accompagner la transformation numérique de l'entreprise, le chief digital officer constitue souvent des équipes non hiérarchiques autour de projets. Dans cette "pizza team", où tous les membres travaillent dans un même lieu, une personne doit être dédiée à la sécurité ».
72 h
Le temps généralement annoncé pour payer un ransomware avant destruction des données
42 % Le ratio des clics sur des URL malveillantes provenant d'appareils mobiles
Les achats ont également un rôle indirect non négligeable dans la mise en oeuvre de la politique de sécurité. En particulier s'il s'agit de mettre en place une politique de bug bounty et, de ce fait, d'allouer un budget pour les « récompenses ». « Le RSSI doit faire changer les habitudes. Il doit par exemple convaincre le service achats de créer une réserve pérenne », explique Alain Bouillé. Arnaud Cassagne, directeur des opérations chez Newlode, pointe également la politique de sélection des prestataires. « Dans certaines sociétés, les achats ne référencent qu'un ou deux acteurs dans le domaine de la cybersécurité. Ils sont souvent choisis sur des critères exclusivement tarifaires. Compte tenu du contexte de pénurie de compétences, l'accompagnement risque alors d'être également au rabais. Si la contractualisation est indispensable, la sécurité repose aussi sur la confiance ». Les directions des achats des grands groupes sont heureusement de plus en plus réceptives à cette problématique, permettant à leurs RSSI de « contourner » les procédures établies pour accéder à certaines prestations. Ce fut ainsi le cas au Crédit Agricole pour recourir à Oppida, à la Société Générale pour utiliser les outils de BufferZone et chez LVMH pour exploiter les services de surveillance de CybelAngel. ·
ALAIN BOUILLÉ RSSI DE LA CAISSE DES DÉPÔTS ET PRÉSIDENT DU CESIN
2 QUESTIONS À...
Comment simplifier la sécurisation des projets des métiers en particulier dans le cloud ?
Quel que soit le projet, il faut donner aux métiers des outils simples afin qu'ils puissent déterminer la sensibilité des données concernées par le projet et du coup ajuster leurs exigences en matière de sécurité. Lorsqu'il s'agit de recourir à des solutions tierces, en particulier dans le cloud, il faut également disposer d'un document contractuel type. Élaboré par le juridique en collaboration avec le RSSI, il précise les engagements attendus des prestataires.
Tous les prestataires acceptent de signer ? Ce contrat est conçu pour que la plupart des prestataires puissent le signer. En cas de refus, le RSSI vient aider le métier à trouver une solution compatible avec la politique de l'entreprise.
DATE-CHARGEMENT: November 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
292 of 500 DOCUMENTS
IT for Business
22 novembre 2017
À la recherche de solutions industrielles
RUBRIQUE: Pg. 0068, 0069, 0070 N° 2222
LONGUEUR: 1839 mots
ENCART: Face à l'ampleur et à la prolifération des menaces, la réaction au coup par coup n'est plus possible. L'entreprise doit transformer ses process et changer de paradigme afin d'industrialiser la sécurité.
Chaque entreprise doit disposer d'une cartographie des risques. Les audits montrent les ressources critiques (applications, serveurs, réseaux, données,...) et l'usage qui en est fait. Pour suivre les différentes étapes des audits puis rassembler et suivre les rapports, RSA Archer, Nasdaq BWise et autres SAP GRC représentent autant de plateformes dites de GRC (Governance, risk management, and compliance). Elles permettent en outre de suivre les plans de continuité ou de reprise d'activité, ainsi que la mise en oeuvre de politiques de conformité.
Si le RGDP met l'accent sur les données personnelles, l'entreprise doit étendre l'audit à toutes les données sensibles de l'entreprise (comptabilité, bases de clients, données de production,...). Outre la cartographie des données proprement dites, l'audit doit déterminer qui peut y accéder et quelles procédures sont alors associées. Selon un RSSI, « ces données critiques sont bien trop souvent accessibles à une large part des employés sans justification, et sans traçabilité. Sans parler des comptes génériques "administrateur", non nominatifs, qui sont toujours légion et qui autorisent tous types d'actions, y compris effacer les traces de méfaits... » Ce que confirme un rapport de Varonis réalisé en avril dernier : les employés de 47 % des entreprises auditées pouvaient accéder librement à plus de 1 000 fichiers sensibles. Éric Cole, doctorant et formateur chez SANS Institute, explique : « bon nombre d'entreprises peinent à réaliser qu'une attaque externe consiste bien souvent à cibler et piéger un utilisateur interne légitime pour causer des dégâts. Bien peu d'entreprises sont alors en mesure ne serait-ce que de détecter ce qu'il s'est passé. » Directeur commercial de Balabit France, Yves Mimeran précise : « les utilisateurs les plus à risques sont les utilisateurs privilégiés, tels que les administrateurs systèmes, car ils sont les cibles les plus intéressantes pour des cybercriminels. Surveiller ces utilisateurs permet de détecter des activités anormales ou suspicieuses et prévenir les fuites de données ». Le machine learning vient largement à la rescousse dans ces processus d'analyse des comportements sur le réseau interne. Ainsi, Varonis surveille les accès aux ressources (qui, quand, à quelle heure, depuis quelle adresse IP...). Balabit monitore également le trafic réseau afin de profiler les frappes clavier ou la souris lors de sessions d'administration distante afin de détecter une éventuelle usurpation de compte. Dans le contexte d'hybridation du SI, les sondes réseau et les outils d'analyse de flux prennent une nouvelle dimension au sein des architectures de sécurité.
KHALED SOUDANI DIRECTEUR DE L'EXPLOITATION DES INFRASTRUCTURES IT, SOCIÉTÉ GÉNÉRALE
TÉMOIGNAGE
L es acteurs internes de la sécurité doivent descendre dans l'arène, mettre la main à la pâte et co-construire les nouveaux services de sécurité avec leurs partenaires : sécurité et agilité ne peuvent plus s'opposer. Pour ce faire, ils doivent adapter leur gouvernance et leur posture.
Les compétences doivent également s'adapter pour permettre de créer les plateformes ouvertes de services. Enfin, les solutions et produits apportés par les acteurs externes vont devoir également s'adapter à ce nouveau monde, de plus en plus basé sur le cloud, les API et l'automation.
C'est cela la sécurité de demain, et c'est ainsi qu'elle tiendra sa promesse de transparence et d'agilité.
Une terra incognita de la DSI est par exemple l'usage réel qui est fait des services cloud. Entre les métiers qui en souscrivent directement et les utilisateurs qui, de leur propre initiative, les utilisent (tels que des outils de partage, de modification de PDF...), difficile pour un DSI de dire ce qui se passe réellement sur son réseau. C'est l'un des challenges qu'il va s'agir de résoudre alors que le RGPD - qui entre en vigueur en mai 2018 - impose d'identifier où sont les données et de n'utiliser que des prestataires respectant eux-mêmes le réglement européen. Une cartographie des usages peut être obtenue à partir des fichiers de logs des points d'accès à Internet. Les fournisseurs de CASB (Cloud access security broker) proposent des outils automatisés. Selon Sanjay Beri, CEO de Netskope, « une entreprise utilise en moyenne 1 000 services différents. Or seuls un quart des services actuellement proposés sont compatibles RGPD ; un tiers des services précisent où sont stockées les données ; et un service sur cinq autorise le chiffrement des données. » Directeur Europe du Sud et Moyen-Orient de Skyhigh Networks, Joël Mollo précise : « la gouvernance des services cloud est mise en place par le service juridique - ou par le DPO s'il existe - plutôt que par l'IT ou le RSSI. Les audits déclaratifs réalisés auprès des différentes directions sont nécessaires mais pas suffisants : souvent une bonne moitié des outils sont oubliés. Une même société peut utiliser plusieurs dizaines de services de stockage différents, alors qu'un service a été explicitement validé par l'IT ». Les CASB permettent de contrôler l'usage des services cloud. Ils sont basés sur des proxys réalisant un décodage du protocole http, voire https, et utilisent, quand elles existent, les API des fournisseurs pour obtenir une fine granularité des droits d'accès. Toutefois, la protection contre les fuites de données (Data Loss Prevention) reste relativement limitée et nécessite une configuration complexe, telle que déployer un agent sur tous les postes ou, au minimum, changer la configuration des proxys et des certificats SSL. Elle sera surtout efficace contre une erreur involontaire. Par contre, un hacker pourra continuer à dissimuler des fichiers chiffrés en les plaçant dans des vidéos, un salarié indélicat les copiera sur une clé USB...
Limiter les failles de sécurité
Comme la lutte contre le phishing par e-mail est de plus en plus efficace, l'entrée et ensuite l'installation des hackers dans les réseaux de l'entreprise se font de plus en plus souvent à la faveur des failles de sécurité. Il devient donc encore plus indispensable de « patcher » très rapidement l'ensemble des postes et serveurs, le plus tôt possible après réception des mises à jour fournies par les éditeurs de logiciels. Initialement spécialisé dans ce domaine, Qualys a, depuis, largement étendu sa gamme de solutions et coordonne désormais à la fois des outils de tests externes (implémentant notamment une recherche automatisée de failles), des agents sur les postes, et des sondes d'analyse de flux réseau. « Notre volonté est d'intégrer dans une seule plateforme ouverte un grand nombre d'outils afin de réduire les redondances dans le stock d'applications de sécurité installées, faciliter l'administration, augmenter la réactivité et contrôler les politiques de conformité mises en oeuvre », explique Philippe Courtot, dirigeant de l'entreprise.
La problématique est différente lorsque l'entreprise développe elle-même des ap-plications : c'est à elle de limiter les failles non plus au moment de l'écriture du code, mais dès la phase de conception. Pour cela, de bonnes pratiques de développement « secure by design » ou DevSecOps existent, y compris dans des processus agiles. Des outils permettent ensuite d'analyser automatiquement le code produit et de déceler les erreurs classiques (débordement de mémoire, boucles mal contrôlées...). Une bonne traçabilité du code (savoir par qui chaque ligne de code a été écrite et à quel moment) est indispensable. Des audits réguliers (internes et externes) doivent systématiquement être menés. En particulier lorsqu'il est fait appel à des composants de code tiers non ou mal documentés.
La centralisation des alertes au travers d'un Security Operation Center (SOC) devient incontournable pour superviser l'ensemble des outils de détection et d'action.
La question du « secure by design » est encore plus primordiale lorsqu'il s'agit d'Internet des objets. Comme l'explique Laurent Petroque, responsable avant-vente chez F5 Networks, « ce n'est pas juste le device qui doit être "secure by design", mais bien l'ensemble de la chaîne : aussi bien au niveau des constructeurs, que des opérateurs réseau, que des intégrateurs. Par cette approche globale, il est possible de combler certaines faiblesses : ainsi, un composant qui n'aurait pas la capacité de chiffrer ses communications peut néanmoins être utilisé, s'il n'est pas directement connecté à un réseau non sécurisé comme Internet ».
Une supervision centralisée
La centralisation des alertes au travers d'un Security Operation Center (SOC) devient incontournable pour superviser l'ensemble des outils de détection et d'ac-tion. Toutefois, en raison de la pénurie de compétences et de moyens, seules les plus grosses sociétés peuvent envisager un SOC interne. Les autres opteront pour un plus ou moins grand degré d'externalisation. Quelle que soit la taille de l'entreprise, Cyrille Badeau, directeur Europe du Sud de Threat Quotient, conseille de conserver une cellule interne capable de comprendre parfaitement les problématiques métiers et qui fera l'interface avec le SOC externalisé. L'effet de mutualisation n'est pas non plus sans avantage. s
De plus en plus d'acteurs intègrent des outils de threat intelligence, qui permettent de déceler des menaces propres à un secteur et d'automatiser la réponse aux incidents. Grâce à de nouvelles offres des prestataires (Sopra Steria, Airbus Cybersecurity...), les PME peuvent elles aussi souscrire à des SOC clés en mains. Et cela risque de devenir rapidement indispensable. Le remplacement des antivirus classiques par des solutions de protection « intelligentes » entraîne inévitablement la génération de faux positifs. Dans les plus petites entreprises, qui va s'occuper de traiter ces tickets ? ·
JULIEN AIRAUD ADJOINT SSI, CNES
3 QUESTIONS À...
Le CNES chiffre les données dès le poste de travail. En quoi êtes-vous particulièrement exposé ?
Notre activité repose sur notre patrimoine scientifique et technique, qui suscite la convoitise, en particulier d'États. Malgré ce contexte cyber complexe, nous devons constamment échanger avec nos partenaires industriels.
Dans quel contexte avez-vous opté pour Prim'X ?
Pour tous les projets et systèmes, le CNES veille à ce que les données soient disponibles, intègres et confidentielles. Nous évaluons les composants approuvés par l'Anssi, ce qui restreint notre catalogue. Nous avions besoin d'un outil capable de chiffrer le poste de travail, mais aussi les échanges dans notre messagerie et nos outils collaboratifs en intranet comme en extranet.
Pourquoi le support de Windows 10 reste-t-il complexe ?
Les éditeurs de solutions pour Windows 10 doivent être beaucoup plus agiles : lors de mises à jour majeures, leurs produits doivent être immédiatement compatibles afin de ne pas différer l'application des patches.
Malgré les contraintes techniques - Prim'X Cryhod remplace le mécanisme BitLocker -, elles doivent se dérouler sans heurts, en limitant les redémarrages et les interventions des utilisateurs.
DATE-CHARGEMENT: November 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
293 of 500 DOCUMENTS
IT for Business
22 novembre 2017
Gouvernance Ouvrir la boîte de Pandore de l'intelligence artificielle
AUTEUR: Patrick Brébion avec Pierre Landry
RUBRIQUE: Pg. 0008, 0009, 0010, 0011 N° 2222
LONGUEUR: 2620 mots
ENCART: Depuis quelques mois, l'intelligence artificielle défraye la chronique. Les promesses sont alléchantes : nouveaux services, automatisation de tâches réalisées par des cols blancs, anticipation de pannes, de comportements... Les inconnues - risques, impact sur les organisations, visibilité sur les outils, conformité, etc. - sont au moins aussi importantes.
« L'IA réduit drastiquement le coût de la prédiction. Mais la prédiction ne fait pas la décision, ce n'est qu'un des facteurs de la décision ».
Une étude du Cigref sur les enjeux de la mise en oeuvre de l'IA dans l'entreprise, un événement d'IBM - le Watson Summit - qui lui était entièrement dédié, un autre - Analytics Experience - organisé par SAS sur le même sujet, les 50 ans de l'Inria dont les travaux lui accordent la part du lion, un premier forum parrainé par le ministre de l'Économie et des Finances Bruno Le Maire, un débat au Sénat au même moment... Le tout noyé dans un torrent d'annonces de fournisseurs présentant de nouvelles versions estampillées IA de leurs produits et services.
Les GAFA, on le sait, investissent le domaine depuis un certain temps. D'autres, moins attendus, comme Sony et Orange, aussi. Sans oublier le monde académique. Sur le plan des compétences, avec des laboratoires comme l'Irit ou l'Irisa et sa tradition d'excellence en mathématiques, la France est dans le peloton de tête mondial.
Les raisons de cet emballement ? « Une nouvelle génération d'applications émerge et, pour la première fois, challenge massivement les cols blancs », résume Nicolas Sekkaki, président d'IBM France. Une hypothèse a priori confirmée par les multiples études traitant de l'impact de l'IA sur l'emploi (voir encadré). Et donc un bouleversement majeur pour nombre de professions qui se pensaient à l'abri du phénomène IA.
DES EFFETS POSITIFS
A contrario de la communication effrénée présentant l'IA comme une nouveauté, celle-ci est déjà présente et utilisée depuis longtemps. N'en déplaise à de nombreux spécialistes, les premières générations de systèmes experts basés sur des algorithmes toujours utilisés aujourd'hui avaient aussi pour fonction de prendre en charge des tâches intelligentes ou de fournir de l'aide à la décision. Par exemple pour tarifer une assurance vie, une estimation compliquée par la prise en compte de facteurs médicaux aussi variés que sont les demandeurs. Ce qui a changé ? Principalement les coûts actuels de la puissance de calcul, comme ceux du stockage. Intervenant à l'occasion de l'événement de SAS, Ajay Agrawal, économiste et fondateur du Creative Destruction Lab, le rappelait ainsi : « L'économie de l'IA suit la même courbe que celle des semi-conducteurs il y a quelques années, avec comme résultat principal que le coût de la prédiction s'en trouve de plus en plus faible. Attention, toutefois, la prédiction ne fait pas la décision, ce n'est qu'un des facteurs de la décision. » La disponibilité de masses de données exploitables, pour certaines en temps réel, est l'autre facteur principal de l'émergence réelle de l'IA. Lors des 50 ans de l'Inria, Nozha Boujemaa, directrice de recherche et conseillère du président de l'Inria dans le domaine du big data, l'a rappelé : « les algorithmes et les données sont les deux faces de l'IA ».
Les projets plus ou moins expérimentaux des débuts se muent en applications désormais stables et accessibles quasiment en temps réel. Côté fournisseurs, les ténors de l'IT ne sont pas les seuls à l'utiliser. Des éditeurs beaucoup plus modestes l'ont déjà intégrée dans leurs solutions. Spécialisé dans le CRM, Eptica l'utilise pour analyser les échanges avec les clients au sein des mails. Vekia, de son côté, en a doté son logiciel d'optimisation de la supply chain pour l'approvisionnement de points de vente. Si l'utilisation d'algorithmes pour fluidifier la gestion des stocks n'est pas nouvelle, cette nouvelle génération en améliore prétendument la précision et la rapidité. Présent lors du Watson Summit, Jean-Christophe Lalanne, DSI d'Air France KLM, a listé quelques cas d'usage : « par exemple, en cas d'annulation de vol pour des raisons météorologiques ou autres, il sera possible de proposer en temps réel à un client des solutions alternatives adaptées en fonction de son historique et de tous les possibilités du moment ». Le DSI a également évoqué l'opportunité de développer encore le yield management à partir de ces technologies. Autre intervenant lors de l'événement d'IBM, l'assureur Allianz prévoit également d'améliorer la personnalisation de ses offres grâce à l'IA. Et pourquoi pas, par exemple, de proposer une option vol adaptée en fonction de l'endroit où l'assuré gare son véhicule, qui sera calculée en temps réel à partir de données diverses comme les dernières statistiques publiques sur les vols, le type de véhicule... Toujours dans le domaine des transports, Bas van Essen, responsable du datalab de l'agence gouvernementale hollandaise Rijkswaterstaat, a quant à lui mis en avant ses travaux sur le deep learning menés avec SAS pour réduire les temps d'intervention en cas d'accident sur son réseau autoroutier : « nous sommes passés de 6 à 3 minutes de temps d'intervention moyen car nous savons mieux, par anticipation, quelles routes nos services d'urgence peuvent emprunter en fonction des travaux en cours et des bouchons ».
UN IMPACT MAL MAÎTRISÉ SUR L'EMPLOI
Selon Gartner, l'intelligence artificielle sera un créateur net d'emplois à partir de 2020. Certes 1,8 million seront détruits, mais 2,3 millions seront créés. Des nouveaux jobs qui correspondent à des évolutions d'emplois actuels ou à de nouveaux business. Pour certaines activités, l'intelligence artificielle supprimera en effet certaines tâches, mais sans remettre en question le rôle en lui-même, et l'évolution de la mission variera selon les secteurs, les entreprises, et les personnes elles-mêmes.
Ainsi, selon une méthode développée par Oxford appliquée à la banque de détail, l'utilisation de l'IA - notamment au travers de chatbots pour les relations avec les clients - se traduirait par une réduction de l'ordre de 50 % des fonctions commerciales réalisées par des humains.
FO Banques estime ainsi que 25 à 30 000 postes seraient menacés en France, avec au global un solde négatif pour le secteur d'environ 30 % une fois comptabilisés les postes créés, notamment dans l'IT.
Forrester estime quant à lui que la disparition de 18 % de l'ensemble des postes tous secteurs confondus ne sera contrebalancée que par 9 % de nouveaux postes créés.
Dans un rapport datant du mois de mai, McKinsey estime pour sa part que l'ensemble des systèmes actuels (robots, intelligence artificielle, etc.) capables d'automatiser certaines tâches affecteront 1,2 milliard de personnes dans le monde, mais avec des pourcentages différents selon les activités et les secteurs. Reprenant ses chiffres de 2011, le cabinet compare la mutation actuelle avec l'arrivée d'Internet en France : en 15 ans, 500 000 emplois avaient été détruits... mais 1,2 million avaient été créés. Et de noter que, selon ses estimations, d'ici une décennie, les États-Unis seuls devraient se retrouver en carence de plus de 250 000 emplois de data scientists.
L'essentiel est déjà que les dirigeants d'entreprise soient conscients du problème. Ce qui semble le cas : 55 % des répondants à une enquête de SAS mentionnent comme challenge principal lié à l'IA la mutation des rôles de leurs collaborateurs, ce qui inclut les pertes d'emploi, mais aussi les nouvelles compétences à développer.
Source : #GartnerSYM
En dehors de ces domaines, les outils de cybersécurité intègrent déjà des technologies d'intelligence artificielle pour effectuer de l'analyse comportementale et repérer ainsi les trafics suspects sur le réseau. Un processus proche de celui exploité dans le domaine de la lutte anti-fraude. C'est par exemple avec la solution d'IBM que ProBTP, le groupe de pro-tection sociale du bâtiment et des travaux publics, détecte les demandes de remboursement potentiellement injustifiées. La Danske Bank, elle, estime pouvoir rentabiliser en un an l'investissement consenti dans les technologies de Teradata pour détecter les transactions frauduleuses.
Associé à l'Institut Mines-Télécom et au CNRS, l'Inria a lancé un projet baptisé TransAlgo pour évaluer la transparence des algorithmes utilisés en intelligence artificielle.
L'intelligence artificielle se révèle également adaptée dans le domaine plus vaste et encore en phase d'exploration de l'Internet des objets. Il s'agit par exemple d'analyser les données issues de multiples capteurs et sources d'informations pour faire de la maintenance prédictive. « Un Airbus A380 produit des masses de données. Transformer ces dernières en informations permettant d'éviter une immobilisation se traduit par des gains conséquents », illustre Jean-Christophe Lalanne. Et du prédictif, on peut aussi passer au temps réel, si toutefois l'on est capable d'amener l'intelligence au bon endroit dans le temps imparti. « Nous travaillons à amener plus d'intelligence au niveau des "touch points", là où se trouvent le capteur et l'actionneur, explique Oliver Schabenberger, CTO de SAS. En opérant selon les cas du filtrage, de l'agrégation et du scoring local, le système se trouve en situation de quasi-autonomie et est capable de prendre une décision rapidement. Cela n'est pas possible si des volumes importants de données doivent être transportés ».
SOIGNER LA PHASE D'ENTRAÎNEMENT
Moins maîtrisés à ce jour que les logiciels plus classiques, ceux qui incluent des algorithmes d'IA peuvent présenter des biais, comprendre des résultats peu satisfaisants - voire pas du tout - en termes éthiques et légaux. « Un site de e-commerce vendait entre autres des agrafeuses dont le prix était calculé par un algorithme qui se basait notamment sur la distance entre le vendeur et le lieu de résidence de l'acheteur. Il s'est aperçu que c'était en fait un facteur discriminant, du fait que les populations les plus modestes habitent souvent plus loin des lieux de vente », explique Serge Abiteboul, directeur de recherche à l'Inria et auteur d'ouvrages sur le sujet. Tant qu'il ne s'agit que d'une agrafeuse, l'exemple prête à sourire, mais l'on sent poindre des problèmes d'une autre ampleur dans d'autres cas d'usage. Aux États-Unis, un logiciel aide les juges à décider de la remise en liberté conditionnelle. Le critère majeur pris en compte pour cette décision est le risque de récidive. « Basé sur de l'IA, le logiciel calculant ce risque défavorisait les gens de couleur. Ce biais venait des données - les décisions humaines prises précédemment - qui avaient servi à entraîner le système », explique Serge Abiteboul. Un travers dont Nozha Boujemaa détaille les ressorts : « les algorithmes sont des opinions encapsulées par le choix de leur paramétrage, des données pour leur conception, ainsi que par les règles de décision ».
APPRÉHENDER L'IA PAR DES POC
Dans un contexte de convergence inévitable, mais non imminente autour de plateformes et d'écosystèmes exploitant largement l'intelligence artificielle, les consultants du Gartner pressent les entreprises de tester l'intelligence artificielle sur de petits projets bien délimités. Selon eux, il faut avant tout s'appuyer sur des compétences humaines en IA et en sciences des données qui seront en mesure, au fil de l'évolution des plateformes et des synergies, de s'adapter aux outils, ces derniers existant déjà dans de nombreux domaines plus ou moins pointus.
Serge Abiteboul, directeur de recherche à l'Inria
Encore en phase d'entraînement, l'intelligence artificielle doit donc encore être accompagnée. Le choix des données sources doit être particulièrement soigné pour répondre également aux problématiques légales telles que le droit à l'oubli ou, plus généralement, la conformité au RGPD. Tout en sachant que la législation reste encore peu mature sur le sujet. Dans cette logique, le Cigref a d'ailleurs édité un livre blanc sur la nécessaire gouvernance en la matière.
PROCHAIN DÉFI : EXPLIQUER L'IA
Au-delà des aspects légaux, son utilisation massive dans les systèmes d'information va ou devrait passer par une étape de meilleure compréhension du fonctionnement des modèles et des algorithmes. Une tâche qui passe à la fois par un effort de vulgarisation pour le plus grand nombre, mais aussi par un effort de compréhension par les spécialistes eux-mêmes. Également directeur de recherche à l'Inria, spécialisé notamment dans la qualité logicielle, Xavier Leroy a travaillé sur les tests pour les logiciels critiques. Il constate : « il est possible de faire des logiciels quasi-parfaits. Le nombre des accidents liés à des bogues dans les logiciels utilisés pour l'avionique est ainsi proche de zéro. Nous pensons utiliser l'IA pour les tester et les fiabiliser encore plus. Toutefois, à ce jour, il reste difficile de comprendre ce qui se passe sous le capot, et donc de maîtriser tous les biais possibles ». Un point rédhibitoire quand il s'agit de certifier ces logiciels critiques. « Le Parisien que je suis a déjà peur du conducteur parisien. Avec les véhicules autonomes, je frémis d'avance », ajoute en souriant Xavier Leroy. Pour pallier cette question épineuse, l'Inria a lancé et financé un projet baptisé TransAlgo (transparence des algorithmes). Lancé en février dernier dans le contexte de la loi pour une république numérique d'Axelle Lemaire, il implique également l'Institut Mines-Télécom et le CNRS. Son objectif est d'évaluer la responsabilité et la transparence des systèmes algorithmiques en ouvrant une fenêtre sur leur fonctionnement. Par exemple pour savoir, lorsqu'on recherche un itinéraire sur une app mobile, si l'algorithme employé recourt ou non à des critères marchands pour nous faire passer opportunément par des points d'intérêt commercial en lien avec le fournisseur de l'application...
Nozha Boujemaa, directrice de recherche et conseillère du président de l'Inria dans le domaine du big data
À un niveau de préoccupation plus élevé, il s'agira d'être capable de comprendre la décision d'un algorithme de conduite autonome en cas d'accident « choisi » pour en éviter supposément un autre. Ou, dans un contexte sanitaire, d'intervenir sur une décision à caractère vital.
Une crainte bien à l'esprit des répondants à une enquête menée par SAS auprès de 100 responsables informatiques et métiers : ils sont 41 % à se poser de sérieuses questions sur l'éthique de l'intelligence artificielle telle qu'elle sera utilisée. Sera-ce pour le bien de tous ou seulement pour le bénéfice de quelques entreprises ? ·
2 QUESTIONS À...
Quel conseil donnez-vous aux entreprises qui sont tentées par les bénéfices de l'intelligence artificielle ?
Avec des data scientists en place et un peu de temps, vous pouvez faire des choses très fines, très abouties, construire des modèles très compliqués, mais qui répondront parfaitement à vos besoins. Mais beaucoup d'entreprises ne disposent pas de ces compétences, n'ont pas besoin d'un tel niveau de sophistication, ou tout simplement n'ont pas le temps d'attendre.
OLIVER SCHABENBERGER CTO DE SAS
Vous allez donc voir arriver de plus en plus de modèles prêts à l'emploi sur le marché, très ciblés, et qui répondront à certains besoins. Il appartient aux entreprises de savoir ce qu'elles veulent faire avec l'IA.
Que répondez-vous à ceux qui considèrent l'IA comme une boîte noire aux décisions « arbitraires » ?
Votre système peut très bien vous donner la bonne réponse dans 95 % des cas et cela peut vous suffire. Mais si vous ne savez pas ce qui vous sépare de la bonne réponse sur les 5 % restant, il n'a éventuellement que peu de valeur. Par ailleurs, nous sommes tout à fait conscients qu'une petite boîte noire au sein d'un vaste système peut le contaminer complètement et que c'est tout à fait inapproprié dans certains contextes.
Nous travaillons donc sur la possibilité de rendre l'IA « explicable » dans une certaine mesure.
Il existe des techniques, agnostiques par rapport aux modèles, avec lesquelles on peut étudier comment un algorithme prend une décision.
DATE-CHARGEMENT: November 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
294 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 22 Novembre 2017
"Nous avons le même niveau de protection des données dans l'ensemble du groupe"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 753 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la DPO de Capgemini détaille son action pour gérer l'utilisation des données au sein du groupe présent dans 40 pays.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de Capgemini et de quelle direction dépendez-vous ? Nathalie Laneret est data protection officer (DPO) de Capgemini © Capgemini
Nathalie Laneret. Je suis avocate de formation, inscrite aux barreaux de Paris et de New York. Après avoir démarré chez August & Debouzy dans l'univers de l'Internet, du e-commerce et de la cryptologie, j'ai passé huit ans et demi comme juriste généraliste chez 3M. Puis, j'ai été recrutée par Capgemini en 2011 sur des sujets de conformité, et notamment la protection des données personnelles et le droit de la concurrence. Nous avons notre propre programme baptisé "Binding corporate rules" (BCR) de conformité interne chez Capgemini et nous le mettons actuellement en conformité avec le Règlement général sur la protection des données (RGPD). Je rapporte à la directrice juridique du groupe et au directeur mondial de la cyber-sécurité, qui est lui-même en relation constante avec le secrétaire général pour la cryptologie du groupe. Je dispose de trois collaborateurs directs et de quatorze DPO au sein de diverses entités géographiques ainsi que de nombreux correspondants en matière de cyber-sécurité, soit une quarantaine de personnes.
Quels sont les principaux enjeux de votre action au sein de Capgemini ?
D'abord, c'est une mission passionnante et exigeante. Ensuite, l'essentiel de ma mission consiste à m'assurer que Capgemini se conforme bien à la protection des diverses données personnelles dont nous disposons, notamment celles de nos clients qui sont protégées conformément aux règles applicables. Ce qui consiste à s'assurer en permanence que nos clients soient eux-mêmes en conformité dans le cadre d'une stratégie commune. Nous avons aussi un objectif "business" afin que ces données créent de la valeur pour l'entreprise et pour nos clients. Les intérêts sont parfois contradictoires mais le plus souvent compatibles et complémentaires.
Quelles premières mesures avez-vous prises à votre arrivée ?
Ce qui était d'emblée très clair, c'est qu'au regard de notre business modèle, nous avions besoin que les transferts de données internationaux (Capgemini est présent dans une quarantaine de pays, ndlr) soient réellement harmonisés, notamment les transferts hors Union européenne. D'où cette adoption - bien avant les premières discussions autour du RGPD - de "Binding corporate rules" (BCR) propres à Capgemini, aussi bien en interne que vis-à-vis de nos clients,. De ce fait et même si c'est un très gros chantier, nous avons le même niveau de protection des données dans l'ensemble du groupe. Il y a aussi une forte dimension technologique dans ces programmes, notamment au niveau de la sécurité des données.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
Nous avons plusieurs canaux à commencer par le e-learning qui est obligatoire pour tous les collaborateurs concernés. Quant aux questions de cyber-sécurité, cela concerne l'ensemble des 200 000 salariés du groupe. Nous avons aussi divers Intranet locaux et des webinars spécifiques à la protection des données ainsi qu'un séminaire annuel sur la cyber-sécurité. La protection des données personnelles est un sujet stratégique pour nous
Quelle utilisation faites-vous des données personnelles dont vous disposez ?
Comme n'importe quelle autre entreprise, les données concernant nos collaborateurs rentrent dans le cadre traditionnel des ressources humaines. Ensuite, il y a les données sensibles, notamment celles de nos clients, pour lesquelles nous nous efforçons de s'adapter à leurs demandes, à leurs besoins et à leur business. Certains traitements sont très simples, d'autres plus compliqués comme ceux relevant du " secret défense " ou dans l'univers de la santé.
Quels sont vos principaux chantiers à venir ?
Continuer à s'appuyer sur nos BCR et à implémenter le RGDP. Pour obtenir le meilleur niveau de conformité possible tout en restant extrêmement pragmatiques, réactifs et productifs. Il faut aussi que les règles soient suffisamment souples pour pouvoir s'adapter rapidement. Parfois, il faut faire des concessions même si ce n'est pas toujours évident. Ce qu'il faut, c'est être toujours capable d'adapter ces règles à notre organisation.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 22 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
295 of 500 DOCUMENTS
Le Figaro Online
mercredi 22 novembre 2017 05:06 PM GMT
Après la mort, que deviennent nos données ?
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: PLACEMENT; Finances perso; Placement
LONGUEUR: 769 mots
ORIGINE-DEPECHE: France
ENCART: INFOGRAPHIE - Notre patrimoine numérique, les traces que nous laissons chaque jour sur Internet ne disparaissent pas à notre décès. Qu'advient-il de ces informations ? Qui décide de leur sort ?
Il y aura en 2098 plus de morts que de vivants sur Facebook, selon les estimations de Hachem Sadikki, statisticien de l'université du Massachusetts. Même s'il est difficile d'affirmer que Facebook existera toujours à la fin du siècle et d'imaginer ce qu'il serait alors, ce type de projection interpelle. Comment organiser la gestion post-mortem des comptes sur les réseaux sociaux et plus largement, de l'ensemble des services Web que nous utilisons de notre vivant ?
» LIRE AUSSI - Pourquoi il est urgent de penser à son tombeau numérique
Certaines entreprises ont pris en main cette question délicate. La suppression d'un compte LinkedIn, Snapchat ou Twitter est ainsi possible à la requête d'un proche, parfois à condition de fournir un certificat de décès. Facebook permet également à chaque utilisateur de désigner un «contact légataire», une personne qui pourra supprimer le compte de son titulaire en cas de décès ou bien gérer son «profil mémorial». Elle pourra écrire un avis de décès sur le profil du défunt afin d'informer ses amis, changer la photo de profil et répondre aux demandes de contact. Les messages privés du mort resteront en revanche inaccessibles. «Les vivants ont toujours gardé des traces du mort, et bien souvent, les nouvelles techniques sont utilisées pour communiquer avec les morts et en garder des traces. C'est un invariant sociologique et, par exemple, l'un des premiers usages de la photographie», explique le socio-anthropologue Martin Julier-Costes au site Regard sur le numérique. Selon ce chercheur du programme Eneid-Éternités numérique, financé par l'Agence nationale de recherche, le Web regorge même de traces des défunts. Bien avant Facebook, il existait par exemple des cyber-cimetières à la mémoire de disparus sur des sites Internet dédiés.
Un testament numérique
Entre le droit de mémoire des vivants et le droit des défunts à la vie privée, l'équilibre est parfois difficile à trouver pour les familles. Tout comme pour le don d'organe ou l'incinération, mieux vaut donc en discuter au préalable, d'autant que de nombreux outils permettent d'anticiper la «mort numérique».
La France est ainsi l'un des premiers États à avoir entériné la notion dans la loi Lemaire d'octobre dernier. Selon le texte, «toute personne peut définir des directives relatives à la conservation et à la communication de ses données à caractère personnel après son décès». À chaque Français donc de proposer une directive générale («s'il m'arrive quelque chose, je souhaite que mes données soient transmises à un tel ou bien effacées») ou bien particulière («je souhaite que mon compte Facebook soit maintenu mais que mes comptes Google soient effacés»).
La loi ne suffit pas toujours pour faire valoir ses dernières volontés. Lors de leur congrès au mois de septembre dernier, les notaires français ont donc proposé de faire figurer ces directives relatives aux données numériques dans un testament déposé chez le notaire. «Le testament, qui permet directement d'appliquer les dernières volontés du défunt, peut être enregistré pour environ 10 euros - il faut seulement y ajouter les frais de conseil du notaire pour les cas plus complexes», précise Mathieu Fontaine, notaire et responsable de la commission numérique pour le Conseil supérieur du notariat. Il est ainsi possible de programmer avec certitude l'inactivation de ses comptes sur les réseaux sociaux ou la suppression définitive de ses données sur tous les services en ligne. Les mots de passe et identifiants de banques en ligne peuvent également être visés par ces dispositions, même si les capitaux des comptes sont soumis aux règles de l'héritage. «Les notaires ne sont pas forcément attendus sur les questions numériques, mais à titre personnel, je considère que mes données m'appartiennent et qu'elles peuvent à ce titre constituer un patrimoine», note ainsi Mathieu Fontaine.
» LIRE AUSSI - Une start-up propose de résilier les comptes numériques des défunts
Anticiper l'inévitable évite certaines déconvenues. Un couple canadien a ainsi eu la mauvaise surprise en 2013 de voir apparaître des photos de leur fille décédée sur une campagne publicitaire pour un site de rencontre. Facebook avait en effet revendu les photos de la défunte à une firme commerciale. «En France, cela est heureusement impossible avec la loi Lemaire», explique Mathieu Fontaine. Le notaire appelle toutefois à la vigilance, puisque la mort numérique reste à maints égards un angle mort du droit. La question est ainsi totalement absente du nouveau règlement pour la protection des données personnelles (RGPD) qui entrera en vigueur d'ici à mai 2018.
DATE-CHARGEMENT: 22 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
296 of 500 DOCUMENTS
Le Figaro
Mercredi 22 Novembre 2017
Après un décès, que deviennent nos données ?;
Notre patrimoine numérique, les traces que nous laissons chaque jour sur Internet ne disparaissent pas à notre décès. Qu'advient-il de ces informations ? Qui décide de leur sort ?
AUTEUR: Braun, Elisa
RUBRIQUE: PATRIMOINE; Pg. 31 N° 22794
LONGUEUR: 749 words
PATRIMOINE
Il y aura en 2098 plus de morts que de vivants sur Facebook, selon les estimations de Hachem Sadikki, statisticien de l'université du Massachusetts. Même s'il est difficile d'affirmer que Facebook existera toujours à la fin du siècle et d'imaginer ce qu'il serait alors, ce type de projection interpelle. Comment organiser la gestion post-mortem des comptes sur les réseaux sociaux et plus largement, de l'ensemble des services Web que nous utilisons de notre vivant ?
Certaines entreprises ont pris en main cette question délicate. La suppression d'un compte LinkedIn, Snapchat ou Twitter est ainsi possible à la requête d'un proche, parfois à condition de fournir un certificat de décès. Facebook permet également à chaque utilisateur de désigner un « contact légataire », une personne qui pourra supprimer le compte de son titulaire en cas de décès ou bien gérer son « profil mémorial ». Elle pourra écrire un avis de décès sur le profil du défunt afin d'informer ses amis, changer la photo de profil et répondre aux demandes de contact. Les messages privés du mort resteront en revanche inaccessibles. « Les vivants ont toujours gardé des traces du mort, et bien souvent, les nouvelles techniques sont utilisées pour communiquer avec les morts et en garder des traces. C'est un invariant sociologique et, par exemple, l'un des premiers usages de la photographie », explique le socio-anthropologue Martin Julier-Costes au site Regard sur le numérique. Selon ce chercheur du programme Eneid-Éternités numérique, financé par l'Agence nationale de recherche, le Web regorge même de traces des défunts. Bien avant Facebook, il existait par exemple des cyber-cimetières à la mémoire de disparus sur des sites Internet dédiés.
Un testament numérique
Entre le droit de mémoire des vivants et le droit des défunts à la vie privée, l'équilibre est parfois difficile à trouver pour les familles. Tout comme pour le don d'organe ou l'incinération, mieux vaut donc en discuter au préalable, d'autant que de nombreux outils permettent d'anticiper la « mort numérique ».
La France est ainsi l'un des premiers États à avoir entériné la notion dans la loi Lemaire d'octobre dernier. Selon le texte, « toute personne peut définir des directives relatives à la conservation et à la communication de ses données à caractère personnel après son décès ». À chaque Français donc de proposer une directive générale (« s'il m'arrive quelque chose, je souhaite que mes données soient transmises à un tel ou bien effacées ») ou bien particulière (« je souhaite que mon compte Facebook soit maintenu mais que mes comptes Google soient effacés »).
La loi ne suffit pas toujours pour faire valoir ses dernières volontés. Lors de leur congrès au mois de septembre dernier, les notaires français ont donc proposé de faire figurer ces directives relatives aux données numériques dans un testament déposé chez le notaire. « Le testament, qui permet directement d'appliquer les dernières volontés du défunt, peut être enregistré pour environ 10 euros - il faut seulement y ajouter les frais de conseil du notaire pour les cas plus complexes », précise Mathieu Fontaine, notaire et responsable de la commission numérique pour le Conseil supérieur du notariat. Il est ainsi possible de programmer avec certitude l'inactivation de ses comptes sur les réseaux sociaux ou la suppression définitive de ses données sur tous les services en ligne. Les mots de passe et identifiants de banques en ligne peuvent également être visés par ces dispositions, même si les capitaux des comptes sont soumis aux règles de l'héritage. « Les notaires ne sont pas forcément attendus sur les questions numériques, mais à titre personnel, je considère que mes données m'appartiennent et qu'elles peuvent à ce titre constituer un patrimoine », note ainsi Mathieu Fontaine.
Anticiper l'inévitable évite certaines déconvenues. Un couple canadien a ainsi eu la mauvaise surprise en 2013 de voir apparaître des photos de leur fille décédée sur une campagne publicitaire pour un site de rencontre. Facebook avait en effet revendu les photos de la défunte à une firme commerciale. « En France, cela est heureusement impossible avec la loi Lemaire », explique Mathieu Fontaine. Le notaire appelle toutefois à la vigilance, puisque la mort numérique reste à maints égards un angle mort du droit. La question est ainsi totalement absente du nouveau règlement pour la protection des données personnelles (RGPD) qui entrera en vigueur d'ici à mai 2018.
DATE-CHARGEMENT: 21 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: patrimoine_201746_deces_medias_sociaux.pdf
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
297 of 500 DOCUMENTS
Le Figaro Économie
Mercredi 22 Novembre 2017
Après un décès, que deviennent nos données ?
AUTEUR: Braun, Elisa
RUBRIQUE: PATRIMOINE; Pg. 31 N° 22794
LONGUEUR: 749 mots
PATRIMOINE Il y aura en 2098 plus de morts que de vivants sur Facebook, selon les estimations de Hachem Sadikki, statisticien de l'université du Massachusetts. Même s'il est difficile d'affirmer que Facebook existera toujours à la fin du siècle et d'imaginer ce qu'il serait alors, ce type de projection interpelle. Comment organiser la gestion post-mortem des comptes sur les réseaux sociaux et plus largement, de l'ensemble des services Web que nous utilisons de notre vivant ? Certaines entreprises ont pris en main cette question délicate.
La suppression d'un compte Linked In, Snapchat ou Twitter est ainsi possible à la requête d'un proche, parfois à condition de fournir un certificat de décès. Facebook permet également à chaque utilisateur de désigner un « contact légataire », une personne qui pourra supprimer le compte de son titulaire en cas de décès ou bien gérer son « profil mémorial ». Elle pourra écrire un avis de décès sur le profil du défunt afin d'informer ses amis, changer la photo de profil et répondre aux demandes de contact. Les messages privés du mort resteront en revanche inaccessibles. « Les vivants ont toujours gardé des traces du mort, et bien souvent, les nouvelles techniques sont utilisées pour communiquer avec les morts et en garder des traces. C'est un invariant sociologique et, par exemple, l'un des premiers usages de la photographie », explique le socio-anthropologue Martin Julier-Costes au site Regard sur le numérique. Selon ce chercheur du programme Eneid-Éternités numérique, financé par l'Agence nationale de recherche, le Web regorge même de traces des défunts. Bien avant Facebook, il existait par exemple des cyber-cimetières à la mémoire de disparus sur des sites Internet dédiés.
Un testament numérique
Entre le droit de mémoire des vivants et le droit des défunts à la vie privée, l'équilibre est parfois difficile à trouver pour les familles. Tout comme pour le don d'organe ou l'incinération, mieux vaut donc en discuter au préalable, d'autant que de nombreux outils permettent d'anticiper la « mort numérique ». La France est ainsi l'un des premiers États à avoir entériné la notion dans la loi Lemaire d'octobre dernier. Selon le texte, « toute personne peut définir des directives relatives à la conservation et à la communication de ses données à caractère personnel après son décès ». À chaque Français donc de proposer une directive générale (« s'il m'arrive quelque chose, je souhaite que mes données soient transmises à un tel ou bien effacées ») ou bien particulière (« je souhaite que mon compte Facebook soit maintenu mais que mes comptes Google soient effacés »). La loi ne suffit pas toujours pour faire valoir ses dernières volontés. Lors de leur congrès au mois de septembre dernier, les notaires français ont donc proposé de faire figurer ces directives relatives aux données numériques dans un testament déposé chez le notaire. « Le testament, qui permet directement d'appliquer les dernières volontés du défunt, peut être enregistré pour environ 10 euros - il faut seulement y ajouter les frais de conseil du notaire pour les cas plus complexes », précise Mathieu Fontaine, notaire et responsable de la commission numérique pour le Conseil supérieur du notariat. Il est ainsi possible de programmer avec certitude l'inactivation de ses comptes sur les réseaux sociaux ou la suppression définitive de ses données sur tous les services en ligne. Les mots de passe et identifiants de banques en ligne peuvent également être visés par ces dispositions, même si les capitaux des comptes sont soumis aux règles de l'héritage. « Les notaires ne sont pas forcément attendus sur les questions numériques, mais à titre personnel, je considère que mes données m'appartiennent et qu'elles peuvent à ce titre constituer un patrimoine », note ainsi Mathieu Fontaine.Anticiper l'inévitable évite certaines déconvenues. Un couple canadien a ainsi eu la mauvaise surprise en 2013 de voir apparaître des photos de leur fille décédée sur une campagne publicitaire pour un site de rencontre. Facebook avait en effet revendu les photos de la défunte à une firme commerciale. « En France, cela est heureusement impossible avec la loi Lemaire », explique Mathieu Fontaine. Le notaire appelle toutefois à la vigilance, puisque la mort numérique reste à maints égards un angle mort du droit. La question est ainsi totalement absente du nouveau règlement pour la protection des données personnelles (RGPD) qui entrera en vigueur d'ici à mai 2018.
DATE-CHARGEMENT: 21 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: patrimoine_201746_deces_medias_sociaux.pdf
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
298 of 500 DOCUMENTS
Le Monde.fr
Mercredi 22 Novembre 2017
La voix, nouvelle révolution de nos univers numériques
AUTEUR: Sophy Caulier
LONGUEUR: 1882 words
«Dis, Siri, quelle est la date de naissance de Giuseppe Verdi?» Ou «OK, Google, trouve-moi la recette du tiramisu». Si vous n'êtes pas encore habitué à parler à votre smartphone ou à n'importe quel objet, songez à vous y mettre, car 2018 s'annonce comme l'année des enceintes intelligentes et des assistants vocaux. Et il ne s'agit pas des derniers gadgets numériques qui feront long feu et que l'on voudrait nous faire acheter par palanquées à l'approche des fêtes de fin d'année. Ces nouveaux appareils sont bien plus que cela. Ils sont les précurseurs d'une vague qui promet d'être aussi déferlante, sinon plus, que celle de l'iPhone il y a dix ans.
Ceux qui rêvent de commander à la voix les équipements de leur maison ou de leur voiture, de voir leurs paroles transcrites instantanément, d'obtenir immédiatement des réponses aux questions qu'ils se posent sans devoir en passer par un clavier savent maintenant qu'ils verront bientôt leur rêve devenir réalité. Après l'ordinateur puis le smartphone, c'est avec la voix que nous allons accéder à Internet et à tout l'univers numérique.
Il faut distinguer les assistants personnels intelligents (IPA) - qui sont des logiciels - des appareils connectés à Internet sur lesquels ils sont utilisables: enceintes, téléphones mobiles, véhicules, montres et objets en tous genres. Un IPA comprend la question posée à haute voix par l'utilisateur et y répond vocalement après avoir déclenché une action, comme consulter l'agenda ou le carnet d'adresses dans le téléphone pour trouver une information, se connecter à Internet pour accéder à un site, etc. Le cabinet américain Tractica estime que le marché global lié à ces IPA (matériels, logiciels, services) passera de 2milliards de dollars (1,7milliard d'euros) en2016 à 15,8milliards en2021.
Apple a été le pionnier de ce marché avec Siri, qui s'est invité en2011 dans l'iPhone. Cette primeur vaut à Siri d'être l'assistant le plus utilisé dans le monde aujourd'hui, mais sa suprématie devrait prendre fin dans les prochaines années. Car les concurrents se multiplient et ils disposent d'importants moyens technologiques et commerciaux. Samsung a emboîté le pas à Apple en2012 avec S Voice, progressivement remplacé par Bixby. Microsoft a lancé Cortana en2014.
«La voix, interface naturelle»
La même année, Amazon a proposé l'enceinte Echo, équipée de l'IPA Alexa, sur le marché américain, et s'apprête à la commercialiser en France en2018. Sortie en2016, l'enceinte Google Home, dotée de l'IPA Google Assistant, est disponible en France depuis le mois d'août. Orange a annoncé l'arrivée de son IPA Djingo sur le marché français l'année prochaine. Quant à Apple, son enceinte HomePod doit faire ses débuts en décembre aux Etats-Unis. Sans compter les acteurs chinois, tels Alibaba ou Huawei, qui s'apprêtent à se lancer eux aussi sur ce marché.
Alors que l'on écrit enmoyenne 40mots par minute, on peut en prononcer 150 dans lemême temps
L'arrivée de la voix est un vrai changement de paradigme pour les interfaces entre l'homme et la machine. «Jusqu'à présent, nous devions faire l'effort de comprendre comment la technologie fonctionnait pour pouvoir nous en servir, et cet effort augmentait à chaque nouvelle machine. La technologie dépasse à présent notre capacité à comprendre. Cela crée une discrimination entre les technophiles et les autres. La voix résout ce problème, c'est une interface universelle. Elle supprime le besoin d'apprendre. Elle nous donne accès à la technologie en la faisant disparaître», explique Rand Hindi, président et cofondateur de Snips.
Cette start-up française a levé 21millions de dollars en deux ans pour mettre au point sa plate-forme de reconnaissance vocale, avec laquelle elle ambitionne de concurrencer Amazon et Google. La voix est aussi le moyen d'interagir le plus naturel et le plus rapide. Alors que l'on écrit en moyenne 40mots par minute, on peut en prononcer 150 dans le même temps.
L'apprentissage profond
Les IPA se démocratisent à présent, car les technologies sur lesquelles ils sont basés - le traitement automatique du langage naturel (TALN) et l'intelligence artificielle (IA) - ont beaucoup progressé au cours des dernières années. Aujourd'hui, les capacités de la machine en reconnaissance de la parole et en compréhension du langage sont à peu près équivalentes à celles d'un humain.
Grâce à l'apprentissage profond (deep learning), une des principales techniques d'IA, il n'est plus nécessaire d'enseigner à la machine, elle apprend toute seule et enrichit son savoir au fur et à mesure. «Bien sûr, il existe encore des limites, une enceinte intelligente ne sait pas répondre à des questions pour lesquelles elle n'a pas été entraînée. Mais il y a eu de vrais progrès sur la transcription de la voix en texte, et du texte en service», constate Laurent Stefani, directeur de l'IA d'Accenture Technology en France. Selon Accenture, plus de la moitié des interfaces visuelles seront remplacées par des interfaces vocales d'ici à 2024.
«Le problème n'est plus tant de comprendre la question que de réaliser l'action qui doit suivre. Si je demande une idée de cadeau pour un enfant de 5ans qui aime les dinosaures, l'assistant intelligent me comprend facilement, mais il aura du mal à concrétiser la réponse en me mettant en relation avec un site de vente de livres ou de jouets. Chez Facebook, nous essayons à présent de dépasser le stade du moteur de recherche, d'aller au-delà du langage et de faire faire l'opération demandée par la machine», explique Alexandre Lebrun, directeur de l'ingénierie de Facebook AI Research (FAIR).
Le réseau social a doté sa messagerie instantanée d'un assistant virtuel, M.Celui-ci suggère, pour l'instant par écrit, des actions en fonction des messages échangés, comme envoyer de l'argent ou souhaiter l'anniversaire d'un ami.
Nouveaux usages, nouveaux marchés
Qu'ils soient installés sur un smartphone, une enceinte, dans la voiture ou dans une box, ces IPA sont en train de créer de nouveaux usages et donc de nouveaux marchés. Premier marché, les foyers et l'usage domotique. Certains parlent des IPA comme de nouveaux majordomes, capables de diffuser une radio ou de la musique, de réserver un billet de train ou une table au restaurant, ou encore d'allumer la télé ou de baisser le chauffage sur simple commande vocale.
L'automobile et ladomotique sont lesmarchés qui génèrent leplus devaleur
Autre marché très convoité, la voiture, car l'interface vocale y est bien plus pratique - et plus sûre - qu'un clavier, qu'il s'agisse d'activer le GPS, d'envoyer un message ou de téléphoner. En2016, Microsoft a conclu un partenariat avec Renault-Nissan pour son assistant Cortana. Début novembre, Daimler a présenté Ask Mercedes, un assistant cognitif capable de répondre aux questions des clients de la marque sur l'utilisation de leur voiture et leur proposer différents services, comme du covoiturage.
«Les partenariats avec les acteurs de l'industrie automobile pour l'intégration d'un assistant intelligent au tableau de bord se négocient à prix d'or en ce moment», remarque Benjamin Gautier, consultant senior du cabinet Wavestone. L'automobile et la domotique sont les marchés qui génèrent le plus de valeur, vu le nombre d'équipements concernés.
Les robots de conversation
Pour proposer ces services, les Gafam (Google, Apple, Facebook, Amazon et Microsoft), qui sont les principaux fournisseurs d'IPA, s'associent aux entreprises afin de pouvoir se connecter aux équipements ou aux sites correspondants. Tous veulent s'imposer comme «la» plate-forme de gestion centralisée de la maison, qui contrôle à la fois les objets connectés et l'accès à Internet.
Pour eux, «l'enjeu n'est pas l'équipement, il faut installer la technologie vocale dans les foyers». «Le vocal inverse totalement les leviers économiques pour la publicité, la revente de données, le référencement payant, etc. Ce sont les mêmes marchés qu'avant, mais qui passent par un autre canal, celui de la voix. Il faut donc maîtriser ce canal», explique M.Gautier. Pour lui, la messe est dite: «Tant que la voix est minoritaire par rapport à l'écrit, le marché reste ouvert à la concurrence. Mais, dès que la voix sera majoritaire, un ou deux acteurs domineront le marché.» Vraisemblablement, l'un ou l'autre des Gafam.
Cette prédominance n'empêche pas de nouveaux acteurs de vouloir prendre leurpart de ce marché, notamment dans le domaine professionnel. Ils visent à apporter la voix aux agents conversationnels, les chatbots (robots de conversation), qui fonctionnent surtout par écrit pour l'instant, ou à compléter la panoplie d'outils des centres d'appels.
Respect de la vie privée
«Les centres de relation sont deplus en plus sollicités par des clients qui veulent savoir où en est leur commande, comment choisir un produit, etc. Vu l'augmentation des volumes, toute interaction qui est simple et à faible valeur ajoutée sera remplacée par un chatbot. Aujourd'hui, les agents conversationnels gèrent surtout l'écrit mais, à terme, ils répondront vocalement», prévoit Patrick Joubert, cofondateur et PDG de Recast. AI. Cette start-up, créée fin 2015, a conçu une plate-forme de création d'agents conversationnels et compte une vingtaine de clients comme EDF, SNCF Transilien ou Engie. Elle mène actuellement deux projets pilotes de chatbots vocaux exploitant Alexa.
Pour s'imposer dans les foyers, les IPA vont toutefois devoir faire face à certaines résistances, liées notamment à la confidentialité des données et au respect de la vie privée. Les premiers problèmes survenus aux Etats-Unis, comme le déclenchement d'une enceinte par une publicité à la télé, ont sensibilisé l'opinion publique sur le sujet. En Europe, l'entrée en vigueur, en mai2018, du Règlement général de protection des données (RGPD) oblige toutes les entreprises àdemander le consentement des individus sur lesquels elles enregistrent des données personnelles et à être transparentes sur cesenregistrements.
«Pour nous, c'est très clair, les données sont la propriété de l'utilisateur, qui peut les consulter et les modifier à tout moment surun portail dédié», explique Bernard Ourghanlian, directeur technique et sécurité de Microsoft France. Reste que l'intelligence des assistants s'enrichit de l'utilisation des données. Si l'utilisateur les efface, son assistant risque de ne pas être très performant.
Les jeunes générations privilégient l'écrit àl'oral pour leurs échanges
Quels que soient les performances et les progrès des IPA, l'usage vocal s'installera plus facilement dans des espaces privés comme la maison ou la voiture que dans les lieux publics. Parler à son smartphone dans la rue ou dans les transports se heurte en effet à quelques difficultés. Outre la gêne de l'utilisateur qui doit s'exprimer clairement et à haute voix dans un métro, un bus ou au travail, le bruit ambiant parasite le message et nuit à sa clarté. Le clavier n'est donc pas près de disparaître de nos smartphones.
D'ailleurs, les jeunes générations privilégient l'écrit à l'oral pour leurs échanges et préfèrent les discrets messages écrits, par SMS ou messagerie, aux appels téléphoniques. L'écrit est, pour elles, plus intime et, surtout, il permet de gérer plusieurs conversations à la fois, ce qui, sauf acrobatie dangereuse, n'est pas, encore, possible avec la voix.
DATE-CHARGEMENT: 22 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
299 of 500 DOCUMENTS
Le Cercle
mercredi 22 novembre 2017
Agrégation de comptes : la bataille entre fintechs et banques continue, mais doit s'arrêter dans l'intérêt du client !
AUTEUR: Jonathan Herscovici
RUBRIQUE: ARTICLE; 1. Bref rappel historique
LONGUEUR: 624 mots
ENCART: Les fintechs devront passer par des interfaces mises à disposition par les banques pour accéder aux données des comptes de paiement de leurs clients. La confirmation définitive de cet arrêt est attendue ce vendredi 24 novembre.
1. Bref rappel historique
Tout commence en 2015 avec l'adoption par le Parlement européen de la DSP2 (Directive sur les Services de Paiement 2), qui vise à encadrer les nouveaux acteurs du secteur du paiement, notamment les services d'agrégation de comptes et d'initiation de paiement. Une guerre de lobbying, opposant banques traditionnelles et fintechs, s'enclenche alors autour de la mise en oeuvre de cette directive, prévue pour janvier 2018.
2. Web scraping ou API ?
Les banques traditionnelles, soutenues par l'EBA (Autorité Européenne de Banques), prônent l'utilisation d'API (Application Programming Interfaces), c'est-à-dire d'interfaces dédiées qu'elles fourniraient et qui permettraient aux nouveaux acteurs d'accéder à certaines données des comptes courants de leurs clients communs. Cette solution s'accompagnerait de l'interdiction de la technique du web scraping, utilisée par les fintechs pour récupérer les données des comptes des clients à l'aide de leurs identifiants et mots de passe. Ainsi, elle laisserait les banques seules maîtresses des informations qu'elles souhaitent mettre à disposition.
Pour les fintechs, qui ont trouvé un soutien de poids en la personne du vice-président de la Commission européenne, Valdis Dombrovskis, cette solution ne va pas dans le bon sens : elle risque de bloquer l'innovation, si les banques décident - et c'est fort probable - de ne fournir qu'un accès à minima aux informations.
3. Bruxelles a statué : des API devront être offertes par les banques
La Commission européenne vient de trancher, le texte final sera publié vendredi 24 novembre. Dans les normes techniques réglementaires (RTS) dont dépendra la mise en oeuvre de la DSP2, elle prévoit que les banques mettent en place un accès par API aux données des comptes courants de leurs clients (l'accès aux autres comptes de type épargne ou crédit ne sont pas concernés par la DSP2). Si une banque ne propose pas d'API, les fintechs pourront toujours utiliser le web scraping.
En revanche, les API mises à disposition par les banques seront obligatoirement utilisées par les fintechs, qui devront par ailleurs les tester pendant 6 mois. Si les tests sont concluants, les API testées deviendront les portes d'entrée universelles et incontestées aux données des clients, sauf si elles ne fonctionnent plus (5 tentatives d'accès à l'API sans réponse dans les 30 secondes), auquel cas le recours au web scraping sera autorisé. Quant aux banques dont les API ne réussissent pas le test, elles devront proposer un accès direct en alternative.
4. Les données bancaires appartiennent aux clients
Si ces normes, qui devraient être officiellement publiées vendredi, ne sont pas rejetées par le Parlement et les États membres, elles entreront en vigueur dans 18 mois (soit jusqu'à mi-2019). N'oublions pas que les clients sont les seuls propriétaires de leurs données bancaires et financières. Ils sont en droit de les utiliser à leur guise et notamment de les confier à une application ou à un service tiers s'ils le souhaitent, la DSP 2 et le RGPD (Règlement Général pour la Protection des Données) le rappellent très clairement d'ailleurs dans le contenu des textes réglementaires.
Dans l'ère pré-fintech, seules les banques pouvaient prétendre connaître les clients et tiraient leur légitimité d'un conseil qui se voulait objectif, car elles étaient les seules à détenir les données créées tout au long de la relation bancaire. Seulement, les règles du jeu sont en train de changer. L'avenir des agrégateurs de comptes et la bonne mise en oeuvre de la DSP2 devront donc être co-construits par les banques et les fintechs : leur succès dépendra de la capacité de toutes les parties prenantes à garder l'intérêt du client final au coeur de leur approche.
DATE-CHARGEMENT: 1 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
300 of 500 DOCUMENTS
LeParisien.fr
mercredi 22 novembre 2017
Piratage massif chez Uber : les questions qui se posent
AUTEUR: Damien Licata Caruso
LONGUEUR: 990 mots
C'est un clou de plus dans les pneus d'Uber. Déjà confrontée à la mise sur la touche de son turbulent fondateur, Trevis Kalanick, et à une hémorragie de départs de ses dirigeants, la célèbre start-up plonge un peu plus dans la crise.
Nommé en août dernier, son PDG Dara Khosrowshahi a révélé mardi que les données de 57 millions d'utilisateurs à travers le monde, dont celles de 600 000 chauffeurs, ont été piratées fin 2016. Les noms des utilisateurs ainsi que leurs adresses électroniques et numéros de téléphone mobile ont été subtilisés.
Sur la base d'expertises externes, le patron de l'entreprise de VTC a affirmé que l'historique des trajets, les numéros de cartes et de comptes bancaires, les numéros de sécurité sociale et les dates de naissance des utilisateurs et chauffeurs n'auraient en revanche pas été piratés.
Cette fuite de données massives, malheureusement pas inédite, laisse entrevoir des questions cruciales.
> Comment les hackers se sont emparés d'autant de données ? L'ampleur du vol pose évidemment la question de la protection des bases clients du géant américain. Deux individus ne faisant pas partie de l'entreprise seraient responsables de ce piratage selon Uber. Ils ont pénétré dans un «cloud» (serveur dématérialisé) utilisé par l'entreprise et ont téléchargé ces informations.
La faille de sécurité proviendrait d'un accès au serveur externe non autorisé par les pirates qui y ont eu accès grâce à un compte Github privé où était stocké le code source - le programme informatique central. Les «hackers» ont ensuite remonté ces codes de l'outil de développement afin de trouver le mot de passe qui ouvrait l'accès au serveur. Ils n'ont plus eu qu'à télécharger les données.
Selon le New York Times, Uber a retrouvé les pirates afin d'acheter leur silence et leur a même fait signer un contrat de non divulgation en échange de 100 000 dollars (85 000 euros). En faisant passer cette transaction pour un «bug bounty», une pratique assez classique où une récompense est attribuée pour avoir signalé une faille de sécurité dans une application ou un site Internet.
> S'agit-il bien d'un bug bounty» et pourquoi avoir payé 100 000 dollars ? «Le problème n'est pas lié à un bug mais bien à une erreur humaine lié à un manque de contrôle des accès aux serveurs», explique Julien Cassignol , expert chez Balabit, une société hongroise spécialisée dans la sécurité des accès aux serveurs informatiques.
«La somme déboursée est un moyen d'éloigner les pirates car un « bug bounty» se négocie à peine 5000 euros chez Facebook et une rançon pour autant de données vaut plutôt dans les 3 millions de dollars», affirme l'expert en cybersécurité.
> Quel impact pour les utilisateurs français ? Contacté, Uber France indique :«nous sommes en train de notifier les autorités de régulations et gouvernementales. Les discussions sont en cours et nous ne donnerons pas plus de détails tant qu'elles se poursuivent».
Les employés français n'auraient été mis au courant que la nuit dernière via le post sur le blog officiel du patron. Comme de nombreuses entreprises de la Silicon Valley, Uber est allergique à la divulgation de chiffres sur ses clients. Si les données de 57 millions de comptes ont été compromises, impossible de savoir combien d'utilisateurs hexagonaux sont concernés.
«On ne le saura jamais», avoue dépité un expert en sécurité informatique.
> Uber cache-t-elle l'ampleur du piratage ? Faisant son mea culpa, Dara Khosrowshahi a souligné qu'il s'était interrogé sur le fait que l'information n'ait été relayée qu'un an après les faits. Il estime sur le blog officiel en outre que l'entreprise a failli en n'informant pas immédiatement les victimes de ce piratage ainsi que les autorités.
L'ancien patron débarqué en juin, Travis Kalanick, aurait lui été averti du piratage qui a coûté sa place à Joe Sullivan, le monsieur Sécurité dont la belle réputation acquise chez Facebook a volé en éclats.
«Il se sentent un peu merdeux» explique trivialement un spécialiste du secteur. «Ils auraient pu réagir plus tôt si ils avaient eu un système de contrôle des accès à leurs serveurs les plus sensibles», assure-t-il.
L'entreprise californienne assure que les données les plus sensibles comme les coordonnées bancaires n'étaient pas stockées avec les adresses mails mais cela semble dur à croire.
L'absence de chiffrement de toutes ces données posent aussi la question du dégré de sécurité autour d'elles. Sollicité pour expliquer sa gestion de ses bases de données, Uber France n'a pas donné suite.
> Que risque Uber après ce piratage ? Pour l'instant, à part une perte de l'estime de ses clients et des chauffeurs, pas grand chose pour l'instant. La valorisaiton théorique d'Uber à hauteur de 70 milliards de dollars - le groupe vaut évidemment moins dans la réalité - pourrait aussi subir un léger repli.
Ce n'est pas une première car en février 2015, Uber avait révélé une violation de sa base de données des permis de conduire de 50 000 chauffeurs. L'amende donnée par l'Etat de New York où Uber est enregistré ? A peine 20 000 dollars.
Mais cette fois le procureur de l'état a annoncé mardi avoir ouvert une enquête sur cet incident. Pis, en obtenant des pirates la destruction des données volées, Uber aurait violé la loi fédérale qui empêche l'effacement de preuves nécessaires à une enquête après un piratage massif.
En Europe, les conséquences judiciaires se font attendre. La directive européenne sur le Règlement général sur la protection des données (RGPD) obligera à partir de mai 2018 les entreprises à notifier les autorités nationales chargées de la protection des données d'une telle fuite «le plus vite possible» soit dans les 72 heures.
En cas de manquement, les amendes seront beaucoup plus dissuassives qu'actuellement. Selon la société Varonis, «Uber pourrait être condamné à une amende pouvant atteindre 260 millions de dollars pour cette infraction (4 % de son chiffre d'affaires de 6,5 milliards de dollars en 2016).»
DATE-CHARGEMENT: 22 novembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: L'entreprise de réservation de VTC est encore une fois sur le gril après un piratage de données qu'elle a tenté de cacher.
REUTERS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: PAFR
Copyright 2017 Le Parisien Libere
tous droits réservés
301 of 500 DOCUMENTS
Economie Matin
21 novembre 2017 04:00 AM GMT
RGPD : choisir entre l'anonymisation ou la pseudonymisation des données
LONGUEUR: 833 mots
Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans quelques mois, le 25 mai 2018. Avec la digitalisation et l'augmentation accrue du nombre de données, cette nouvelle réglementation européenne demande à toute entreprise manipulant des données personnelles et toute information permettant d'identifier une personne, de mettre en place les moyens techniques adéquats pour assurer la sécurité des données des citoyens européens. L'occasion de revenir sur deux grandes techniques très distinctes mises en avant dans la réglementation mais qui sont pourtant souvent confondues dans le monde de la sécurité informatique : l'anonymisation des données et la pseudonymisation des données. Pour être conforme à la RGPD, il est important de pouvoir faire la différence, afin de s'assurer d'être bien préparé et de protéger correctement les données des citoyens. Data anonymization ou comment anonymiser l'information La technique de l'anonymisation des données détruit toute possibilité de pouvoir identifier à quel individu appartiennent les données personnelles.
Ce processus consiste à modifier le contenu ou la structure des données en question afin de rendre la " ré-identification " des personnes quasi impossible, même après traitement. Cette méthode, intéressante au départ, reste pourtant difficile à mettre en oeuvre dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. En effet, des informations totalement anonymisées peuvent conduire à l'identification d'une personne en fonction du comportement relevé dans les informations, comme les habitudes de navigation sur internet, les historiques d'achats en ligne. Par exemple, si une entreprise garde les données de l'employée Sophie, même en les rendant anonymes (plus de nom, prénom, date de naissance et adresse), l'humain ayant des habitudes, il reste tout de même possible de déterminer un comportement spécifique : L'entreprise saura par exemple que Sophie se rend sur le même site d'information tous les matins, consulte ses mails quatre fois par jours et aime visiblement commander tous les jeudis son déjeuner au restaurant au coin de la rue. Au final, même anonymisées, les habitudes de comportement de Sophie permettent de la ré-identifier. Or, la CNIL rappelle que " pour qu'une solution d'anonymisation soit efficace, elle doit empêcher toutes les parties d'isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. Pour de nombreuses entreprises donc, l'anonymisation totale des données personnelles reste difficile à mettre en oeuvre. Ces dernières se tournent alors vers une autre technique qui apparait comme un bon compromis : la pseudonymisation. La pseudonymisation des données La réglementation RGPD introduit un nouveau concept de protection des données à échelle européenne, la pseudonymisation, un " entre deux " qui ne rend pas les données complètement anonymes ni complètement identifiables non plus. La pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une information supplémentaire. En résumé, il s'agit d'une technique d'amélioration de la vie privée où les données d'identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, dans le contexte de la pseudonymisation, les données ne sont pas complètement anonymes sans être identifiables pour autant. L'unique point faible de la pseudonymisation est qu'elle génère une clé d'identification, une pièce maîtresse qui permet d'établir un lien entre les différentes informations des personnes. Pour assurer la sécurité des données, ces clés d'identification doivent être stockées avec un contrôle d'accès performant. En effet, une clé d'identification mal protégée permet à un attaquant de retrouver les informations originales avant que ces dernières ne soient traitées. L'utilisation du chiffrement des données sensibles fait partie des solutions robustes de protection des informations confidentielles en matière de pseudonymisation. Et il est du devoir de l'entreprise de mettre en place les solutions de sécurité adéquates et raisonnables permettant de limiter les risques de vols de ces précieuses clés par des personnes mal attentionnées. Les entreprises ont le choix entre les techniques d'anonymisation et de pseudonymisation des données personnelles pour être conformes au RGPD. Leur choix dépendra de leurs besoins mais aussi de la nature des informations collectées. Si l'anonymisation est une technique qui peut être difficile à mettre en place, la pseudonymisation permet de simplifier le processus de protection des données personnelles tout en restant conformes à la nouvelle réglementation européenne.
DATE-CHARGEMENT: 23 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
302 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mardi 21 Novembre 2017
"Toutes les entités du groupe Axa bénéficient d'un DPO"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Banque - assurance
LONGUEUR: 1151 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, le DPO de l'assureur détaille son action dans ce groupe brassant les données personnelles de 107 millions de clients.
JDN. Pourriez-vous nous rappeler votre rôle et votre place dans l'organisation ? Igor Babic est le DPO du groupe AXA. © Axa
Igor Babic (Axa). Mon rôle est d'animer un réseau d'une centaine de data protection officer (DPO) répartis dans les différentes entités du groupe Axa à travers le monde. Je travaille étroitement avec ce réseau, que je considère comme mon équipe. Ensemble, nous ½uvrons à la mise en place des moyens qui permettent à Axa de garantir la protection des données personnelles de ses clients, employés, fournisseurs ou de tiers, utilisées dans le cadre de son activité. Nous les protégeons conformément aux réglementations et à nos propres standards qui se situent souvent au-dessus de ce qui est requis par la législation locale.
Je fais partie de la direction conformité du groupe. Je suis épaulé dans mon rôle d'animateur du réseau par trois personnes. Je bénéficie aussi de l'appui de deux sponsors : la directrice des opérations du groupe et le secrétaire général. Ma nomination comme DPO remonte à 2011. J'occupais auparavant la fonction de responsable sécurité de l'information du groupe.
Ce qui m'intéresse particulièrement dans mon travail, c'est sa portée éthique. Les nouvelles technologies produisent de nombreuses innovations. Notre rôle de DPO est de s'assurer qu'elles se concrétisent au bénéfice du client, considéré ici comme un citoyen, et de l'entreprise.
Quels sont les principaux enjeux liés à la donnée personnelle chez Axa ?
Axa compte 107 millions de clients. Pour leur proposer nos services, censés les aider à maîtriser les risques de la vie grâce à l'assurance, nous sommes amenés à collecter des données personnelles qui ont trait à leur santé, à leurs comportements, etc.
Nous devons protéger ces données au sens de la réglementation et de la confidentialité. Nous considérons que notre responsabilité est aussi de les utiliser dans un sens positif. Pour y parvenir, nous nous obligeons, pour chaque nouveau projet, à nous poser trois questions : l'utilisation de la donnée est-elle utile au client ? Est-elle utile à l'entreprise ? Est-elle utile à la société en général ? Nous ne lançons les projets que si nous savons répondre positivement à ces trois interrogations. C'est pour cette raison, par exemple, que nous ne vendons pas les données de nos clients. Le même raisonnement s'applique aux autres données collectées, celles de nos collaborateurs et de nos fournisseurs, en particulier.
Vous avez construit un réseau de DPO à travers le groupe. Y avait-il un caractère obligatoire à le déployer ? Que vous apporte-t-il ?
"La plupart des nouveautés du règlement étaient déjà en ½uvre à un endroit ou à un autre du groupe"
Nous avons décidé de rendre obligatoire la désignation d'un DPO dans chaque entité en 2012, au moment de la publication du premier draft du règlement général sur la protection des données (RGPD). En outre, dans un groupe décentralisé comme Axa, les entités ont un rôle clé pour porter les projets de conformité au règlement. Le rôle des DPO est de les accompagner dans leur démarche, par de la formation et la mise en ½uvre d'une politique adaptée au métier de l'entité.
Aujourd'hui, le réseau est construit. Toutes les entités bénéficient d'un DPO. C'est une réussite dont nous sommes fiers. Je constate une vraie différence depuis le déploiement de ce réseau. Grâce à leur travail de formation, de conseil et d'assistance à la mise en ½uvre des bonnes pratiques, les DPO ont permis la réalisation des objectifs fixés.
Quelles actions concrètes avez-vous menées ? Par quelles étapes êtes-vous passé ?
"Les DPO interviennent également dans les séminaires de formation des nouveaux entrants"
Dès 2012, j'ai accompagné le lancement du projet Binding Corporate Rules (BCR) au niveau groupe, qui s'est ensuite déployé dans les entités (les BCR sont un ensemble de règles internes encadrant au sein d'un groupe les transferts de données personnelles hors de l'Union européenne, ndlr). Sur cette base, nous avons évalué les écarts entre les situations des entités et les exigences du règlement. Les entités, assistées des DPO, ont pu démarrer leur mise en conformité en 2016, dès la publication de la version finale du règlement.
Dans les faits, la plupart des nouveautés du règlement étaient déjà en ½uvre à un endroit ou à un autre du groupe. Ainsi, le registre des traitements fonctionne depuis longtemps en France tandis que la procédure de signalement des violations est opérationnelle au Royaume-Uni. Nous avons tiré parti de l'effet levier du réseau pour partager méthodes, solutions et expériences de mise en ½uvre des procédures et accélérer ainsi le déroulement des projets.
Mon rôle à ce niveau a été de coordonner toute cette organisation. En parallèle, j'ai contribué, entre 2012 et 2016 et par le biais de l'Association française des entreprises privées (Afep), à l'évolution du règlement lui-même en faisant part des points qui nous semblaient difficiles à appliquer.
Comment communiquez-vous en interne, au-delà du cercle des DPO, pour sensibiliser et informer sur votre action ?
Un premier niveau d'information est disponible sur l'intranet. On y trouve les politiques ainsi que des vidéos de sensibilisation et des modules de serious games à l'intention de tous. Les DPO interviennent par ailleurs dans les comités de direction métier de leurs entités pour présenter le règlement et nos actions. Ces rendez-vous sont appréciés. Ils contribuent à former les managers et sont une opportunité pour débattre de cas concrets. Ils permettent aussi de vérifier un point essentiel : que le DPO soit identifié par les équipes et sollicité comme il se doit. Les DPO interviennent également dans les séminaires de formation des nouveaux entrants. Cela permet à ces derniers de les identifier dans un contexte décontracté qui facilitera la sollicitation par la suite, notamment dans le cadre de projets.
Sur quels chantiers allez-vous mettre l'accent dans les prochains mois ?
Concernant le RGPD, nous entrons dans la phase de contrôle : nous nous assurons de la bonne marche des projets de mise en conformité, qui devront être finalisés en mai prochain. Nous vérifions en particulier la robustesse des processus et des procédures, ainsi que les preuves de conformité exigées par le règlement. Nous nous déplaçons dans les différentes entités, accompagnés d'un DPO d'une autre entité pour croiser les expériences. Là encore, nous jouons sur l'effet réseau. De manière plus globale, nous accompagnons la transformation digitale du groupe, qui est un enjeu clé pour Axa. Notre rôle est celui de facilitateur : s'assurer que les innovations proposées par le métier soient acceptées par les clients, les régulateurs et l'entreprise.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 21 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
303 of 500 DOCUMENTS
La Croix
Mardi 21 Novembre 2017
Face aux géants américains du Web, l'Europe cherche la parade;
Paiement des impôts, règles strictes sur la captation de données personnelles, amendes pour abus de position dominante L'Europe a engagé l'épreuve de force avec les géants américains du numérique. Combat d'arrière-garde ou réaction salutaire qui peut servir d'exemple ?
AUTEUR: GUILLEMOLES Alain
RUBRIQUE: EVÉNEMENT Nº 40956
LONGUEUR: 1061 mots
ENCART: Trop grands, trop puissants, trop peu transparents Google, Apple, Facebook et Amazon inquiètent de plus en plus, au point qu'Emmanuel Macron les a récemment qualifiés de « passagers clandestins du monde contemporain ». L'Europe s'est dotée d'un nouveau règlement qui entend réguler la protection des données coeur de leur économie et doit entrer en vigueur en mai 2018. Quelques acteurs tentent de proposer un modèle alternatif, mais ils sont encore peu connus.
On ne les nomme plus que par un acronyme: les « Gafa », pour Google, Apple, Facebook et Amazon. Ces initiales désignent une sorte de directoire qui régnerait désormais sur l'économie mondiale. En l'espace d'une décennie, ces entreprises californiennes sont devenues des géants mondiaux, bousculant l'ensemble des secteurs de l'économie et réécrivant les règles de la concurrence. Riches à milliards, elles sont lancées dans une course effrénée, écrasant tout sur leur passage, concurrents et États.
Face à cette poussée, la Chine a choisi de fermer la porte, ce qui a permis à des entreprises concurrentes de se développer. L'Europe, de son côté, est longtemps restée sans réaction. Mais les choses semblent être en train de changer: tant bien que mal, la Commission européenne tente désormais de canaliser leur puissance et de les contraindre à suivre certaines règles.
Le premier sujet de discorde concerne la fiscalité. Accusés d'échapper au paiement d'une bonne partie de leurs impôts en Europe, les Gafa sont dans le collimateur des Européens. Le sujet a été au centre d'un sommet des ministres de l'économie, fin septembre, à Tallinn, en Estonie. Une vingtaine de pays, sur 28, se sont ralliés à l'idée de taxer ces entreprises sur leur chiffre d'affaires. La Commission européenne doit faire des propositions dans le courant de 2018.
L'utilisation des données personnelles fait également débat. Car ces plateformes gratuites captent de nombreuses informations sur leurs utilisateurs et les revendent en temps réel. Ce que nous aimons, ce que nous lisons, ce que nous cherchons Toutes ces données sont achetées par toutes sortes d'entreprises qui veulent, ensuite, nous vendre des biens ou des services. Ce marché de la donnée est au coeur de l'économie des Gafa et fait leur puissance. Mais la captation de données personnelles est mal perçue par les Européens, qui lui opposent le respect de la vie privée.
Afin de réguler cette captation, l'Europe s'est donc dotée d'un nouveau « règlement général sur la protection des données » (RGPD), qui doit entrer en vigueur le 25 mai 2018. Il prévoit que tous les Européens soient informés, de façon « claire et explicite », des données qui sont captées pour le moment à leur insu.
Les plateformes devront justifier du fait que cette captation est nécessaire au service rendu, par exemple pour recommander des livres ou des musiques correspondant aux goûts des utilisateurs, analysés selon leurs achats précédents. Mais ils disposeront aussi d'un « droit à l'oubli » permettant de faire effacer toute information personnelle. Ils auront également un droit à « la portabilité de ces données », c'est-à-dire la possibilité de récupérer intégralement ces données pour les conserver, ou les transmettre à un service concurrent s'ils le souhaitent.
Ce règlement est très discuté parmi les entrepreneurs européens du numérique. Beaucoup soulignent qu'il risque d'isoler l'Europe du reste du monde. C'est ce que relève Nicolas Princen, fondateur de Glose.com, une plateforme de vente de livres et par ailleurs ancien conseiller pour le numérique de Nicolas Sarkozy. « La génération de données est perçue de façon très négative en Europe. De ce fait, l'approche européenne consiste à limiter leur captation. C'est plein de bonnes intentions, mais c'est un frein à l'innovation, aussi bien pour les acteurs européens qui naissent et grandissent en Europe que pour les utilisateurs, qui pourraient se voir privés d'un usage intelligent des données qui va dans leur intérêt », estime-t-il.
Ce n'est pas l'avis d'Éric Léandri, le fondateur de Qwant, un moteur de recherche qui se veut une alternative européenne à Google. Au début, son ambition a fait sourire. Mais aujourd'hui, Qwant attire 56 millions de visiteurs uniques chaque mois et emploie 140 salariés. Le site devrait devenir rentable l'an prochain. Et pour lui, le règlement européen sur la protection des données est une bonne chose, car il « va permettre une concurrence à armes égales et éviter que trois ou quatre grandes plateformes dominent le monde ».
Aux avant-postes de la lutte pour un Internet qui ne serait pas dominé par les Gafa, Qwant fait partie de l'« Open Internet project », une coalition de 400 entreprises européennes qui a déposé plusieurs plaintes contre Google devant la Commission européenne pour « abus de position dominante ». Cela a abouti, en juin dernier, à une première condamnation de Google à une amende de 2,4 milliards d'euros. Il lui était reproché de promouvoir son comparateur de prix dans ses résultats de recherche, au détriment de concurrents européens.
La commissaire à la concurrence, Margrethe Vestager, a indiqué la semaine dernière que d'autres plaintes vont être rapidement examinées. « Avec cette nouvelle commissaire, les choses bougent enfin. C'est nouveau: on a longtemps eu l'impression que l'Europe ne faisait rien », soupire Éric Léandri. Certains voudraient même aller plus loin. Jusqu'à proposer de démanteler les Gafa, au nom de la lutte contre les monopoles, comme cela a été fait pour la Standard Oil, en 1914, aux États-Unis. Cette position est défendue par l'économiste Jean-Hervé Lorenzi et le financier Mickaël Berrebi dans un livre paru en juin dernier (1). Mais elle semble à ce stade peu réaliste et même peu adéquate, selon Hubert Tardieu, conseiller du président du groupe Atos. « Toutes les industries qui s'appuient sur des réseaux ont tendance à devenir monopolistiques. Mais démanteler les monopoles n'entraîne pas toujours une amélioration. En Grande-Bretagne, le démantèlement des chemins de fer s'est traduit par une dégradation du service », remarque-t-il.
« Plutôt que de démanteler, il vaut mieux obliger ceux qui collectent les données à les partager. Il faut inventer des règles pour le marché de la donnée. C'est le grand enjeu pour les années à venir », ajoute-t-il.
C'est bien ce que tente de faire l'Europe avec son nouveau règlement. Cependant, il ne devrait pas pénaliser les Gafa qui ont déjà anticipé et s'efforcent aujourd'hui de mieux expliquer l'usage qu'ils font des données qu'ils récoltent. Ils acceptent le principe d'un contrôle par les utilisateurs. Mais reste à savoir si d'autres pays non européens vont s'inspirer de ce règlement pour introduire, chez eux, une législation semblable. C'est cela qui permettra de vérifier que l'Union européenne a marqué un point contre les Gafa.
DATE-CHARGEMENT: 21 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Bayard-presse
Tous droits réservés
304 of 500 DOCUMENTS
Le Monde
21 novembre 2017 mardi
Les machines prennent la parole
AUTEUR: Sophy Caulier
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 10
LONGUEUR: 1842 words
ENCART: Portée par les progrès de l'intelligence artificielle et du traitement du langage naturel, la voix s'impose peu à peu comme la nouvelle interface pour atteindre l'univers numérique. En voiture ou chez soi, des assistants intelligents à commande vocale vont répondre à nos demandes
Dis, Siri, quelle est la date de naissance de Giuseppe Verdi ? " Ou " OK, Google, trouve-moi la recette du tiramisu ". Si vous n'êtes pas encore habitué à parler à votre smartphone ou à n'importe quel objet, songez à vous y mettre, car 2018 s'annonce comme l'année des enceintes intelligentes et des assistants vocaux. Et il ne s'agit pas des derniers gadgets numériques qui feront long feu et que l'on voudrait nous faire acheter par palanquées à l'approche des fêtes de fin d'année. Ces nouveaux appareils sont bien plus que cela. Ils sont les précurseurs d'une vague qui promet d'être aussi déferlante, sinon plus, que celle de l'iPhone il y a dix ans. Ceux qui rêvent de commander à la voix les équipements de leur maison ou de leur voiture, de voir leurs paroles transcrites instantanément, d'obtenir immédiatement des réponses aux questions qu'ils se posent sans devoir en passer par un clavier savent maintenant qu'ils verront bientôt leur rêve devenir réalité. Après l'ordinateur puis le smartphone, c'est avec la voix que nous allons accéder à Internet et à tout l'univers numérique.
Il faut distinguer les assistants personnels intelligents (IPA) - qui sont des logiciels - des appareils connectés à Internet sur lesquels ils sont utilisables : enceintes, téléphones mobiles, véhicules, montres et objets en tous genres. Un IPA comprend la question posée à haute voix par l'utilisateur et y répond vocalement après avoir déclenché une action, comme consulter l'agenda ou le carnet d'adresses dans le téléphone pour trouver une information, se connecter à Internet pour accéder à un site, etc. Le cabinet américain Tractica estime que le marché global lié à ces IPA (matériels, logiciels, services) passera de 2 milliards de dollars (1,7 milliard d'euros) en 2016 à 15,8 milliards en 2021.
Apple a été le pionnier de ce marché avec Siri, qui s'est invité en 2011 dans l'iPhone. Cette primeur vaut à Siri d'être l'assistant le plus utilisé dans le monde aujourd'hui, mais sa suprématie devrait prendre fin dans les prochaines années. Car les concurrents se multiplient et ils disposent d'importants moyens technologiques et commerciaux. Samsung a emboîté le pas à Apple en 2012 avec S Voice, progressivement remplacé par Bixby. Microsoft a lancé Cortana en 2014. La même année, Amazon a proposé l'enceinte Echo, équipée de l'IPA Alexa, sur le marché américain, et s'apprête à la commercialiser en France en 2018. Sortie en 2016, l'enceinte Google Home, dotée de l'IPA Google Assistant, est disponible en France depuis le mois d'août. Orange a annoncé l'arrivée de son IPA Djingo sur le marché français en 2018. Quant à Apple, son enceinte HomePod doit faire ses débuts en décembre aux Etats-Unis. Sans compter les acteurs chinois, tels Alibaba ou Huawei, qui s'apprêtent à se lancer eux aussi sur ce marché.
Vrai changement de paradigme
L'arrivée de la voix est un vrai changement de paradigme pour les interfaces entre l'homme et la machine. " Jusqu'à présent, nous devions faire l'effort de comprendre comment la technologie fonctionnait pour pouvoir nous en servir, et cet effort augmentait à chaque nouvelle machine. La techno-logie dépasse à présent notre capacité à comprendre. Cela crée une discrimination entre les technophiles et les autres. La voix résout ce problème, c'est une interface universelle. Elle supprime le besoin d'apprendre. Elle nous donne accès à la technologie en la faisant disparaître ", explique Rand Hindi, président et cofondateur de Snips. Cette start-up française a levé 21 millions de dollars en deux ans pour mettre au point sa plate-forme de reconnaissance vocale, avec laquelle elle ambitionne de concurrencer Amazon et Google. La voix est aussi le moyen d'interagir le plus naturel et le plus rapide. Alors que l'on écrit en moyenne 40 mots par minute, on peut en prononcer 150 dans le même temps.
Les IPA se démocratisent à présent, car les technologies sur lesquelles ils sont basés - le traitement automatique du langage naturel (TALN) et l'intelligence artificielle (IA) - ont beaucoup progressé au cours des dernières années. Aujourd'hui, les capacités de la machine en reconnaissance de la parole et en compréhension du langage sont à peu près équivalentes à celles d'un humain. Grâce à l'apprentissage profond (deep learning), une des principales techniques d'IA, il n'est plus nécessaire d'enseigner à la machine, elle apprend toute seule et enrichit son savoir au fur et à mesure. " Bien sûr, il existe encore des limites, une enceinte intelligente ne sait pas répondre à des questions pour lesquelles elle n'a pas été entraînée. Mais il y a eu de vrais progrès sur la transcription de la voix en texte, et du texte en service ", constate Laurent Stefani, directeur de l'IA d'Accenture Technology en France. Selon Accenture, plus de la moitié des interfaces visuelles seront remplacées par des interfaces vocales d'ici à 2024.
Nouveaux usages, nouveaux marchés
" Le problème n'est plus tant de comprendre la question que de réaliser l'action qui doit suivre. Si je demande une idée de cadeau pour un enfant de 5 ans qui aime les dinosaures, l'assistant intelligent me comprend facilement, mais il aura du mal à concrétiser la réponse en me mettant en relation avec un site de vente de livres ou de jouets. Chez Facebook, nous essayons à présent de dépasser le stade du moteur de recherche, d'aller au-delà du langage et de faire faire l'opération demandée par la machine ", explique Alexandre Lebrun, directeur de l'ingénierie de Facebook AI Research (FAIR). Le réseau social a doté sa messagerie instantanée d'un assistant virtuel, M. Celui-ci suggère, pour l'instant par écrit, des actions en fonction des messages échangés, comme envoyer de l'argent ou souhaiter l'anniversaire d'un ami.
Qu'ils soient installés sur un smartphone, une enceinte, dans la voiture ou dans une box, ces IPA sont en train de créer de nouveaux usages et donc de nouveaux marchés. Premier marché, les foyers et l'usage domotique. Certains parlent des IPA comme de nouveaux majordomes, capables de diffuser une radio ou de la musique, de réserver un billet de train ou une table au restaurant, ou encore d'allumer la télé ou de baisser le chauffage sur simple commande vocale.
Autre marché très convoité, la voiture, car l'interface vocale y est bien plus pratique - et plus sûre - qu'un clavier, qu'il s'agisse d'activer le GPS, d'envoyer un message ou de téléphoner. En 2016, Microsoft a conclu un partenariat avec Renault-Nissan pour son assistant Cortana. Début novembre, Daimler a présenté Ask Mercedes, un assistant cognitif capable de répondre aux questions des clients de la marque sur l'utilisation de leur voiture et leur proposer différents services, comme du covoiturage. " Les partenariats avec les acteurs de l'industrie automobile pour l'intégration d'un assistant intelligent au tableau de bord se négocient à prix d'or en ce moment ", remarque Benjamin Gautier, consultant senior du cabinet Wavestone. L'automobile et la domotique sont les marchés qui génèrent le plus de valeur, vu le nombre d'équipements concernés.
Respect de la vie privée
Pour proposer ces services, les Gafam (Google, Apple, Facebook, Amazon et Microsoft), qui sont les principaux fournisseurs d'IPA, s'associent aux entreprises afin de pouvoir se connecter aux équipements ou aux sites correspondants. Tous veulent s'imposer comme " la " plate-forme de gestion centralisée de la maison, qui contrôle à la fois les -objets connectés et l'accès à Internet. Pour eux, " l'enjeu n'est pas l'équipement, il faut installer la technologie vocale dans les foyers ". " Le vocal inverse totalement les leviers éco-nomiques pour la publicité, la revente de données, le référencement payant, etc. Ce sont les mêmes marchés qu'avant, mais qui passent par un autre canal, celui de la voix. Il faut donc maîtriser ce canal ", explique M. Gautier. Pour lui, la messe est dite : " Tant que la voix est minoritaire par rapport à l'écrit, le marché reste ouvert à la concurrence. Mais, dès que la voix sera majoritaire, un ou deux acteurs domineront le marché. " Vraisemblablement, l'un ou l'autre des Gafam.
Cette prédominance n'empêche pas de nouveaux acteurs de vouloir prendre leur part de ce marché, notamment dans le domaine professionnel. Ils visent à apporter la voix aux agents conversationnels, les chatbots (robots de conversation), qui fonctionnent surtout par écrit pour l'instant, ou à compléter la panoplie d'outils des centres d'appels. " Les centres de relation sont de plus en plus sollicités par des clients qui veulent -savoir où en est leur commande, comment choisir un produit, etc. Vu l'augmentation des volumes, toute interaction qui est simple et à faible valeur ajoutée sera remplacée par un chatbot. Aujourd'hui, les agents conversationnels gèrent surtout l'écrit mais, à terme, ils répondront vocalement ", prévoit Patrick Joubert, cofondateur et PDG de -Recast. AI. Cette start-up, créée fin 2015, a conçu une plate-forme de création d'agents conversationnels et compte une vingtaine de clients comme EDF, SNCF Transilien ou Engie. Elle mène actuellement deux projets pilotes de chatbots vocaux -exploitant Alexa.
Pour s'imposer dans les foyers, les IPA vont toutefois devoir faire face à certaines résistances, liées notamment à la confidentialité des données et au respect de la vie privée. Les premiers problèmes survenus aux Etats-Unis, comme le déclenchement d'une enceinte par une publicité à la télé, ont sensibilisé l'opinion publique sur le sujet. En -Europe, l'entrée en vigueur, en mai 2018, du Règlement général de protection des données (RGPD) oblige toutes les entreprises à demander le consentement des individus sur lesquels elles enregistrent des données personnelles et à être transparentes sur ces enregistrements.
" Pour nous, c'est très clair, les données sont la propriété de l'utilisateur, qui peut les -consulter et les modifier à tout moment sur un portail dédié ", explique Bernard Ourghanlian, directeur technique et sécurité de Microsoft France. Reste que l'intelligence des assistants s'enrichit de l'utilisation des données. Si l'utilisateur les efface, son assistant risque de ne pas être très performant.
Quels que soient les performances et les progrès des IPA, l'usage vocal s'installera plus facilement dans des espaces privés comme la maison ou la voiture que dans les lieux publics. Parler à son smartphone dans la rue ou dans les transports se heurte en effet à quelques difficultés. Outre la gêne de l'utilisateur qui doit s'exprimer clairement et à haute voix dans un métro, un bus ou au travail, le bruit ambiant parasite le message et nuit à sa clarté. Le clavier n'est donc pas près de disparaître de nos smartphones. D'ailleurs, les -jeunes générations privilégient l'écrit à l'oral pour leurs échanges et préfèrent les discrets messages écrits, par SMS ou messagerie, aux appels téléphoniques. L'écrit est, pour elles, plus intime et, surtout, il permet de gérer plusieurs conversations à la fois, ce qui, sauf acrobatie dangereuse, n'est pas, encore, possible avec la voix.
DATE-CHARGEMENT: 20 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Monde Interactif
Tous Droits Réservés
305 of 500 DOCUMENTS
Le Cercle
mardi 21 novembre 2017
Comment mettre votre business créatif en conformité avec le RGPD ?
AUTEUR: Annabelle Gauberti
RUBRIQUE: ARTICLE; 1. Pourquoi le RGPD ?
LONGUEUR: 1774 mots
ENCART: Le RGPD arrive à grands pas : qu'est-ce que c'est ? Comment est-ce qu'il va impacter vous-même et votre business ? Que devez-vous faire afin de vous mettre en conformité avec le RGPD ? Il n'y a pas un moment à perdre, étant donné que les enjeux sont très élevés, et puisqu'être en conformité avec le RGPD va bien évidemment procurer des avantages concurrentiels à votre business.
Le 27 avril 2016, après plus de 4 ans de discussions et négociations, le parlement et le conseil européens ont adopté le Règlement Général sur la Protection des Données ("RGPD").
1. Pourquoi le RGPD ?
Le RGPD abroge la Directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (la "Directive"). La Directive, qui est entrée en vigueur il y a plus de 20 ans, n'était plus propre à l'usage, étant donné que la quantité d'informations numériques que les entreprises créent, capturent et stockent a beaucoup augmenté.
Les données - et plus il y en a, mieux c'est - sont là pour durer. Les données d'aujourd'hui lubrifient de plus en plus notre monde numérique. Le contrôle des données est, en fin de compte, constitutif de pouvoir, et la propriété des données a un effet très sérieux sur la concurrence dans tout marché existant. En collectant plus de données, une entreprise a plus de champ pour améliorer ses produits, ce qui attire plus d'utilisateurs, générant encore plus de données, et ainsi de suite. Les actifs constitués par les données ("data assets") sont, aujourd'hui, au moins tout aussi importants que les autres actifs intangibles tels que les marques, le droit d'auteur, les brevets et dessins et modèles, pour les sociétés. Les enjeux sont beaucoup plus élevés, aujourd'hui, en ce qui concerne la propriété, le contrôle et la gestion des données, et le RGPD est focalisé sur ce flot de données du XXIe siècle, alors que nous nous impliquons de plus en plus avec la technologie.
En outre, les piratages informatiques et les cyberattaques de milliers d'entreprises multinationales (Sony Pictures, Yahoo, Linkedin, Equifax, etc.) ainsi que de sociétés nationales de l'UE (Talktalk, etc.) font la une, constamment et de manière très régulière, affectant de manière dramatique le bien-être financier et moral de millions de consommateurs dont les données personnelles ont été volées à cause de ces piratages informatiques. Ces attaques et piratages soulèvent de très graves inquiétudes en ce qui concerne l'aptitude des businesses gérant les données personnelles des consommateurs de l'UE à être à la hauteur, en termes de lutter de manière proactive contre la cybercriminalité et de protéger les données personnelles.
Enfin, le RGPD, qui sera immédiatement applicable dans les 28 États membres de l'UE sans aucune transposition à partir du 25 mai 2018 (à la différence de la Directive qui avait dû être transposée dans chaque État membre de l'UE par des réglementations nationales), standardise toutes les lois nationales applicables dans ses États membres et par conséquent apporte une uniformité parfaite entre elles. Le RGPD met tous les États membres sur un pied d'égalité.
2. Quand le RGPD entrera-t-il en vigueur ?
Le RGPD, adopté en avril 2016, entre en vigueur le 25 mai 2018, fournissant idéalement une période de préparation de 2 ans aux businesses et entités du secteur public pour qu'ils s'adaptent aux changements.
3. Quels sont les enjeux ? Quelles organisations sont impactées par le RGPD ?
Les enjeux sont très importants. Toutes les sociétés, organisations ou entités qui opèrent dans l'UE ou qui ont leurs sièges hors de l'UE, mais qui collectent, détiennent ou traitent des données personnelles de citoyens de l'UE doivent se mettre en conformité avec le RGPD avant le 25 mai 2018. Potentiellement, le RGPD pourrait s'appliquer à tout site internet et à toute application sur une base globale.
Comme la plupart, si ce n'est toutes les multinationales, ont des clients, employés et/ou partenaires commerciaux dans l'UE, elles doivent se mettre en conformité avec le RGPD. Même les start-ups et PME doivent se mettre en conformité avec le RGDP, si leur business model implique qu'elles vont collecter, détenir ou traiter des données personnelles de personnes physiques de l'UE (c'est-à-dire les consommateurs, prospects, salariés, contractants et contractuels, fournisseurs, etc.).
Les enjeux sont très élevés pour la plupart des businesses et, pour de nombreuses sociétés, cela devient une problématique et une conversation qui se déroule au niveau du top management et du conseil d'administration.
Pour assurer la mise en conformité avec le nouveau système juridique sur la protection des données, et le respect des nouvelles dispositions, le RGPD a introduit un système de poursuites avec des sanctions financières très lourdes qui seront imposées aux businesses qui ne sont pas en conformité. Si une organisation ne traite par les données personnelles des personnes physiques de l'UE de manière appropriée, elle peut être sanctionnée à payer une amende pouvant aller à, soit 4 % de son chiffre d'affaires annuel global, soit 20 millions d'euros - quel que soit le montant le plus élevé.
Ces amendes futures sont bien plus élevées que la somme de GBP500.000 d'amende plafonnée que l'Autorité de Protection des Données Personnelles ("APDP") du Royaume-Uni, l'Information Commissioner Office ("ICO"), ou la somme de 300 000 euros d'amende plafonnée que l'APDP française, la Commission Nationale Informatique et Libertés ("CNIL"), peuvent infliger à des personnes morales actuellement.
4. Que couvrent les dispositions du RGPD ?
Le RGPD est constitué de 99 articles énonçant les droits des personnes physiques, et les obligations placées sur les organisations et personnes morales, dans le champ du RGPD. Comparés à la Directive, voici les nouveaux concepts-clés apportés par le RGPD.
4.1. Privacy by design
Le principe de "privacy by design" signifie que les businesses doivent prendre une approche proactive et préventive en relation avec la protection de la vie privée et des données personnelles. Par exemple, un business qui limite la quantité de données personnelles collectées ou qui anonymise ces données est conforme au principe de "privacy by design".
4.2. Responsabilité ("Accountability")
La responsabilité ("accountability") signifie que le responsable du traitement ("data controller"), ainsi que le sous-traitant ("data processor"), doit prendre des mesures juridiques, organisationnelles et techniques appropriées leur permettant de se mettre en conformité avec le RGPD. En outre, les responsables de traitement et les sous-traitants doivent pouvoir démontrer l'exécution de ces mesures, en toute transparence et à tout moment dans le temps, tant auprès de leurs APDP respectifs, qu'auprès des personnes physiques dont les données personnelles ont été traitées par eux.
Ces mesures doivent être proportionnées au risque, c'est-à-dire au préjudice qui serait causé aux personnes physiques de l'UE, en cas d'utilisation inappropriée de leurs données personnelles.
4.3. Étude d'impact (« Privacy impact Assessment »)
La société en charge de traiter et gérer les données personnelles, ainsi que ses sous-traitants, doit faire une analyse, une étude d'impact aussi appelée "Privacy Impact Assessment" ("PIA") relative à la protection des données personnelles.
Les businesses doivent exécuter une PIA, une étude d'impact, sur leurs actifs constitués par des données personnelles ("data assets"), afin de suivre et de cartographier les risques inhérents à chaque processus et traitement de données mis en place, en fonction de leur plausibilité et de leur sérieux.
À côté de ces risques, le PIA énonce la liste des mesures organisationnelles, technologiques, physiques et juridiques mises en oeuvre pour adresser et minimiser ces risques. Le PIA a pour but de vérifier l'adéquation de ces mesures et, si ces mesures échouent à ce test, de déterminer des mesures proportionnées pour adresser ces risques découverts et pour s'assurer que le business devienne conforme au RGPD.
4.4. Correspondant informatique et liberté ("Data Protection Officer")
Le RGPD requiert qu'un officier de la protection des données ("Data Protection Officer", "DPO") soit nommé, afin d'assurer la conformité du traitement des données personnelles par les administrations publiques et les entreprises dont les traitements de données personnelles présentent un fort risque de violation de la protection de la vie privée.
Le DPO est le porte-parole de l'organisation en relation avec les données personnelles : il ou elle est le point de contact à qui s'adresser, pour le APDP, en relation avec la mise en conformité du traitement des données personnelles, mais aussi pour les personnes physiques dont les données ont été collectées, afin qu'elles puissent exercer leurs droits.
En plus d'avoir les prérogatives de correspondant informatique et liberté ("CIL") en France, ou "chief privacy officer" au Royaume uni, le DPO doit informer ses interlocuteurs de tout piratage informatique qui pourrait intervenir dans l'organisation, et analyser leur impact.
4.5. Profiling
Le profiling est un processus automatisé des données personnelles permettant la construction d'informations complexes concernant une personne particulière, telles que ses préférences, sa productivité au travail ou ses allées et venues.
Ce type de traitement des données personnelles peut générer une prise de décision automatisée, qui peut avoir des conséquences juridiques, sans aucune intervention humaine. De ce fait, le profiling constitue un risque aux libertés individuelles. C'est pour cela que les entreprises faisant du profiling doivent limiter ses risques et garantir les droits des personnes physiques qui font l'objet de ce profiling, en particulier en leur permettant de requérir une intervention humaine et/ou de contester la décision automatisée.
4.6. Droit à l'oubli
Comme expliqué ci-dessus, le droit à l'oubli permet à une personne physique d'éviter que des informations concernant son passé interfère avec sa vie actuelle. Dans le monde numérique, ce droit comprend le droit à l'effacement ainsi que le droit au déréférencement. D'un côté, la personne peut avoir du contenu potentiellement nocif effacé du réseau numérique, et de l'autre côté, la personne peut dissocier un mot-clé (tel que son prénom et son nom de famille) de certaines pages web sur un moteur de recherche.
4.7. Autres droits des personnes physiques
Le RGPD complémente le droit à l'oubli en remettant les personnes physiques de l'UE fermement en contrôle de leurs données personnelles, renforçant de manière notoire l'obligation de consentement au traitement des données personnelles, ainsi que les droits des citoyens (droit à l'accès des données, droit de rectifier les données, droit de limiter le traitement des données, droit à la portabilité des données et droit de s'opposer au traitement des données personnelles), et les obligations d'information par les businesses à propos des droits des citoyens.
DATE-CHARGEMENT: 1 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
306 of 500 DOCUMENTS
Le Cercle
mardi 21 novembre 2017
La publicité et le marketing à l'ère de la RGPD : la fin du Far West numérique ?
AUTEUR: Hassan LÂASRI
RUBRIQUE: ARTICLE; La route devant
LONGUEUR: 1901 mots
ENCART: La RGPD aura des impacts organisationnels et techniques sur toutes les activités de la publicité et du marketing, mais à différentes échelles selon le type de données que celles-ci manipulent.
Plusieurs articles et livres blancs ont été écrits sur les conséquences juridiques et financières de la RGPD dans les entreprises qui exploitent les données personnelles des clients de l'UE. Mon objectif ici est de présenter les conséquences organisationnelles et techniques sur la publicité et le marketing, à court, moyen et long terme. Pour ces deux activités, il n'y a pas un seul type, mais cinq types de données.
1) Il y a les données socio-démographiques sur tout ce qui compose l'économie et la sociologie d'un pays. Une partie importante de ces données est collectée par les administrations publiques. Elles les utilisent pour les prévisions budgétaires et économiques du pays, mais les libèrent pour que les sociétés les utilisent à leur tour pour leur propre prospection et développement commercial. En général, les données brutes sont gratuites et les données traitées sont payantes.
2) Il y a les données d'enquêtes que les instituts de sondages et d'études recueillent à travers des questionnaires définis avec leurs clients. De par leur nature, ces données sont collectées de manière anonyme et les résultats sont toujours livrés sous forme de statistiques socio-démographiques.
À ce titre, les données d'enquêtes sont très similaires aux données socio-démographiques, sauf qu'elles répondent à des questions d'un client ou d'une administration ou mesurent l'audience d'un média telles que la radio et la télévision.
Par leur conception, les données socio-démographiques et les données d'enquêtes ne permettent pas d'identifier les personnes individuellement. Elles se présentent sous la forme de tableaux et de graphiques anonymes sans aucun moyen de retrouver l'identité des personnes interrogées. À ce titre, la RGPD n'aura aucun nouvel effet significatif sur la façon dont les administrations publiques et les instituts privés collectent leurs données et la façon dont les marques et les distributeurs utilisent ces données pour la publicité de masse.
Mais il y a une exception : les données des panels qui combinent à la fois des données socio-démographiques et des données personnelles, que les instituts utilisent pour mesurer l'opinion générale sur un sujet sociétal ou suivre la fidélité des clients d'une marque.
3) Il y a les données de consommation que les marques et les distributeurs collectent auprès de leurs consommateurs via les paniers d'achats et les cartes de fidélisation. Habituellement, ils demandent un nom, une adresse postale, une adresse électronique et un numéro de téléphone. Mais, plus important encore, ils recueillent les détails de consommation sur de très longues périodes de temps, certains allant jusqu'à 10 ans de données historiques.
La collecte, le traitement et l'analyse des données de consommation ouvrent la porte à la publicité et au marketing personnalisés. Comme la personnalisation nécessite des expertises sophistiquées bien au-delà de la portée des marques et des distributeurs, ces derniers font appel aux sociétés spécialisées dans le data mining et le machine learning, nouvel eldorado des start-ups, agences, instituts, SSII et sociétés de conseil.
Pour les données de consommation, la RGPD contraint les marques et les distributeurs à demander le consentement des clients si les données venaient à quitter ses bases de données pour être traitées dans les systèmes informatiques des sociétés spécialisées. La contrainte du consentement préalable reste applicable même si le traitement ne fait intervenir aucun plan de communication avec les clients finaux. Pour plus de détails, se référer à l'article 49.
La situation devient plus complexe avec le marketing ciblé, car il nécessite un nom, une adresse postale, une adresse e-mail ou un numéro de téléphone pour atteindre les individus. Les marques, les distributeurs ou les sous-traitants doivent fournir des informations sur l'identité, le contact, le but, le lieu, les intérêts légitimes, les destinataires des données collectées, et le cas échéant, si les données quitteront le pays de l'individu.
En outre, ils doivent également fournir des informations sur la période pendant laquelle les données seront conservées, la possibilité pour le client final de demander l'accès, la rectification, l'effacement et le transfert de ses données. En effet, ils doivent expliquer à l'individu qu'il peut se plaindre auprès d'une autorité locale désignée. La liste des informations à fournir est assez longue. Pour plus de détails, se référer aux articles 13-21 du texte officiel du règlement.
Outre les contraintes ci-dessus, les marques, les distributeurs et leurs sous-traitants doivent enregistrer toutes les activités qu'ils auraient effectuées sur les données du consommateur. Pour plus de détails, se référer à l'article 30.
S'ils prévoient d'utiliser un algorithme de décision automatique basé sur des modèles de machine learning ou d'intelligence artificielle pour cibler un public spécifique, la logique doit être explicable en termes clairs à tout individu qui l'aurait demandé directement à la marque, au distributeur, au sous-traitant ou qui se serait plaint auprès de l'autorité locale en charge de la protection de la vie privée des individus.
De toutes les exigences, cette dernière sera la plus problématique, car la majorité des modèles sont ultra complexes même pour les technophiles. En attendant que l'Explainable AI tienne ses promesses, qui prendra des années, les marques, les distributeurs, et leurs sous-traitants n'auront pas d'autre choix que d'adopter des modèles simples tels que les règles métier et les arbres de décision qui sont faciles à comprendre par un non-expert du domaine.
4) Il y a les données comportementales que les marques et les distributeurs collectent à grande échelle à partir des visites des utilisateurs sur leurs écosystèmes numériques ou achètent auprès des médias numériques et des courtiers de données. Les données les plus connues ici sont les cookies, les adresses IP, les identifiants des appareils, les adresses e-mail et les géolocalisations.
5) Il y a les données d'audience que les marques et les distributeurs utilisent indirectement via les plates-formes RTB et de plus en plus à travers les plates-formes de Google, de Facebook et de Twitter qui contrôlent la diffusion de l'annonce de bout en bout sans divulguer de données à la marque ou au distributeur. Ces derniers disposent de l'information sur le nombre de visiteurs ayant vu ou cliqué sur l'annonce, mais aucune information quant à l'identité des personnes qui ont vu ou cliqué sur cette annonce.
Les données comportementales et les données d'audience semblent être délicates à positionner par rapport à la RGPD. En effet, la composition d'une identité peut être placée sur un continuum où une extrémité serait l'anonymat complet et où l'autre serait l'identification totale des individus. Nous avons tendance à considérer les cookies, les identifiants des appareils, la géolocalisation, les avatars de forums sur la première extrémité et les noms, les adresses postales, les adresses mails et les numéros de téléphone sur la deuxième extrémité. Mais les identifiants sur des plateformes telles que Google, Facebook et Twitter sont quelque part entre selon que l'identifiant est un nom réel ou un pseudonyme.
Pour les données comportementales et les données d'audience, la RGPD met plus de pression sur les plates-formes qui ne devront plus utiliser leur puissance technologique et leurs données massives pour identifier les individus à des fins de publicité et de marketing.
La route devant
La RGPD aura des impacts sur la publicité et sur le marketing, mais à différentes échelles. La publicité de masse ne verra pas de changements substantiels, car elle a l'habitude d'utiliser des données socio-démographiques ou d'enquête. Au contraire, le marketing direct subira des changements importants, car il implique l'exploration, la segmentation, le profilage et le ciblage des clients.
À court terme, nous pouvons nous attendre aux conséquences suivantes. Premièrement, la sécurité des systèmes de stockage doit être renforcée, car la violation ou la perte de données sera beaucoup plus coûteuse qu'auparavant, jusqu'à 4% du CA de l'année de l'infraction (article 83).
Deuxièmement, le processus d'activation de nouveaux clients sera plus long, donc plus coûteux, parce que les marques et les distributeurs devront fournir à ces nouveaux clients toutes les informations sur tous les droits qu'ils peuvent exercer.
Troisièmement, les systèmes de gestion de la relation client doivent être augmentés pour permettre une communication plus soutenue et plus personnalisée avec les clients.
Quatrièmement, le besoin de stockage de données sera plus élevé, car ils devront conserver un registre de toutes les activités de traitement qu'ils auraient exécutées sur les données des clients. Pour plus de détails, se reporter à l'article 30.
La protection de la vie privée est en tête des priorités et des budgets informatiques. Comme à la fin des années 90, avec l'urgence d'éviter le bug de l'an 2000, les gagnants de ces budgets seront les sociétés de conseil traditionnelles et les nouvelles regtechs, ces entreprises qui utilisent la technologie pour aider les entreprises financières à se conformer à la réglementation de manière efficace et à peu de frais.
À moyen terme, les impacts de la RGPD entraîneront des changements organisationnels dans les structures en charge de la publicité, du marketing et de la gestion de la relation client au sein des marques et des distributeurs. Ces dernières incluront des experts juridiques dans la relation client qui sera plus soutenue et plus riche en informations que par le passé.
Comme les consommateurs seront plus sollicités par des marques et des distributeurs distincts, une attention particulière devrait être accordée au contenu, à la durée et à la fréquence de ces sollicitations pour minimiser la perception de spam et le risque de les perdre au profit des concurrents. Non seulement la communication devrait être personnalisée, mais elle devrait être parcimonieuse.
Les appels d'offres et les réponses à ces appels d'offres seront plus longs à préparer et à exécuter, car les projets auront une composante légale beaucoup plus forte. La sélection d'une agence, d'un institut ou d'un intégrateur deviendra une décision à plus long terme couvrant certainement plusieurs projets sur plusieurs années afin de mutualiser les coûts et le temps nécessaire.
Il ne serait pas surprenant de voir des spécialistes de la publicité personnalisée et du marketing prédictif fusionner avec des instituts et des SSII pour augmenter la probabilité de gagner les appels d'offres et réduire les coûts d'y répondre. Par ailleurs, l'article 49 obligera probablement les marques, les distributeurs, les agences et les instituts de sondages et d'études à repenser l'offshore du traitement des données dans les pays à bas coûts.
À long terme, à mesure que la confidentialité des données devient beaucoup plus complexe, l'ensemble du secteur B2C pourrait changer, car certaines entreprises pourraient même perdre toutes leurs données clients au profit d'autres qui deviendraient les intermédiaires entre ces entreprises et leurs clients précédents. Ces intermédiaires pourraient être des nouvelles start-ups, des banques de détail, des compagnies d'assurance ou des alliances de sociétés considérées comme les meilleures de leur catégorie en matière de bienveillance des données.
DATE-CHARGEMENT: 1 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
307 of 500 DOCUMENTS
Le Cercle
mardi 21 novembre 2017
Comment obtenir le déréférencement sur Google ?
AUTEUR: Annabelle Gauberti
RUBRIQUE: ARTICLE; 1.2. Quel est le but du déréférencement ?
LONGUEUR: 1809 mots
ENCART: Que faire quand une personne aimée est décédée et que des écrits, images ou vidéos dégradantes et/ou indiscrètes concernant son décès sont publiés sur internet ? Comment les amis, la famille et les héritiers de cette personne décédée peuvent-ils rétablir une image appropriée et la réputation de cette défunte, sur le Far West virtuel qu'est le World wide web ?
1. Déréférencement : faits généraux et modalités
1.1. Qu'est-ce que le déréférencement ?
Le déréférencement est le procédé selon lequel les liens vers certains contenus écrits/audios/vidéos/photographiques disponibles sur internet (le "contenu") sont supprimés, des résultats générés par les fournisseurs de services de moteurs de recherche, après que des mots-clés précis aient été insérés dans l'outil de barre de recherche de ces mêmes moteurs de recherche. C'est ainsi que l'on retire les liens concernant des personnes décédées de Google.
1.2. Quel est le but du déréférencement ?
Google est, de loin, le plus populaire au monde des moteurs de recherche. Ainsi, le simple fait de faire déréférencer de Google un lien URL de ses classements rend le contenu beaucoup plus difficile à trouver par les utilisateurs du Web. Le contenu sera presque impossible à trouver par accident, et sera toujours assez difficile à trouver même en le cherchant spécifiquement.
1.3. Comment envoyer des demandes de déréférencement à Google ?
Bien qu'il n'y ait aucune obligation légale de le faire, il peut être avisé, durant la première étape du processus de déréférencement, de contacter les webmasters des sites web tiers affichant le contenu que vous souhaitez faire effacer.
Dans la plupart des cas, cette étape est malheureusement péniblement inefficace puisque de nombreux webmasters et éditeurs de sites web soit ne prennent même pas la peine de répondre, soit refusent de retirer le contenu en question de leur site web.
1.4. Taux de succès des demandes de déréférencement
Google a supprimé 345 millions de liens URL en 2014, 558 millions de liens URL en 2015 et 908 millions de liens URL en 2016. Bien que le nombre de liens supprimés ait augmenté considérablement d'année en année, le nombre de demandes de déréférencement s'est aussi accru.
Au mois de mars 2016, Google avait reçu plus de 400 000 demandes, examiné plus de 1,4 million de liens URL, et retiré 42,6 % des liens URL pour lesquels ils avaient reçu des demandes de déréférencement.
2. Cadre réglementaire en Europe : le régime le plus protecteur des personnes physiques au monde
La règlementation sur la protection des données personnelles est, dans l'Union européenne, rédigée par chaque État membre séparément, à la date de cet article.
2.1. La décision de la CJUE Costeja : le droit au déréférencement dans l'UE
Cette décision est un jugement de la Cour de Justice de l'Union européenne ("CJUE") rendu le 26 novembre 2014, à laquelle il est généralement fait référence comme la décision sur le "Droit à l'oubli".
Ce jugement avant-gardiste reconnait que les opérateurs de moteurs de recherche, tels que Google, traitent des données personnelles et sont qualifiés de responsables du traitement de données au sens de l'Article 2 de la Directive 95/46/EC. Conformément aux dispositions de la Directive 95/46/EC, les personnes concernées par les données personnelles pourront faire une demande de déréférencement de liens URL vers du contenu considéré comme étant en violation avec leurs droits fondamentaux (c'est-à-dire le droit à la vie privée et à la protection des données personnelles).
La décision de la CJUE reconnaît qu'une personne concernée peut "demander (à un moteur de recherche) que les informations (qui la concernent personnellement) ne soient plus disponibles au public à cause de son inclusion dans (...) une liste de résultats". La Cour force alors les moteurs de recherche tels que Google à effacer les liens URL qui sont "inadéquats, sans pertinence ou ayant perdu leur pertinence, ou excessifs par rapport aux buts pour lesquels ils avaient été traités et à la lumière du temps qui s'est écoulé".
2.2. Réglement Général sur la Protection des Données Personnelles
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques eu égard au traitement des données à caractère personnel et à la libre circulation de ces données personnelles, est entré en vigueur le 24 mai 2016 et s'appliquera seulement à partir du 25 mai 2018 (le "Règlement Général sur la Protection des Données personnelles" ou "RGPD").
Le RGPD consacre en tant que loi le droit à l'oubli, comme énoncé en son Article 17. Conformément à son objectif principal de permettre aux personnes concernées de prendre contrôle de leurs propres données personnelles, le RGPD dispose le droit au déréférencement ("droit à l'oubli") qui permettra aux personnes concernées de demander aux responsables du traitement des données personnelles (u compris les moteurs de recherche comme Google) de supprimer leurs données, s'il n'y a aucune raison légitime pour leur rétention.
L'innovation dans le RGPD, comparée au régime en vigueur exposé dans la Directive 95/46/EC, est qu'actuellement les personnes concernées ont seulement le droit de demander une décision judiciaire pour cesser le traitement de leurs données personnelles, quand ces dernières causent des dommages, tandis que le RGPD permet aux personnes concernées d'éviter l'intervention d'un tribunal, coûteuse et longue, en réglant la problématique directement avec le responsable du traitement des données personnelles (y compris tout moteur de recherche).
2.3. Data Protection Act 1998 au Royaume-Uni
Le Data Protection Act 1988 énoncé les lois relatives à la protection des données personnelles au Royaume-Uni. Cependant, il expose clairement, dès le début, qu'il ne s'applique pas aux données de personnes décédées. En effet, dans sa Partie I "Basic interpretative provisions", le the Data Protection Act 1998 précise que les "données personnelles" signifient les données qui sont reliées à un individu vivant qui peut être identifié". Ceci exclut donc les défunts.
Donc, le Data Protection Act 1998 et l'AEPD britannique, l'ICO, n'offre aucune solution pour, ou de protection à, des personnes voulant voir le contenu et les liens nuisibles concernant des membres décédés de leur famille, retirés des moteurs de recherche comme Google.
2.4. Loi informatique et libertés en France
La loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, généralement mentionnée comme la "Loi informatique et libertés", est bien plus favorable envers des membres de la famille et/ou des amis d'une personne décédée faisant face à une telle situation. En effet, la loi énonce une section entière consacrée aux personnes décédées.
La loi informatique et libertés a été modifiée par la loi n°2016-1321 du 7 octobre 2016, pour prendre en compte le nouvel ensemble de règles résultant du prochain RGPD.
Premièrement, l'Article 40 de cette loi permet aux personnes physiques de demander au responsable d'un traitement des données personnelles de modifier ces données les concernant. Ces données personnelles peuvent être rectifiées, complétées, mises à jour, verrouillées ou effacées si elles s'avèrent inexactes, incomplètes, équivoques, périmées, ou si leur collecte, utilisation, communication ou conservation est interdite.
On donne ainsi aux personnes physiques un grand champ de contrôle sur leurs données personnelles sur Internet. Cependant, la loi informatique et libertés va au-delà, en accordant des droits sur des données personnelles relatives à des personnes décédées.
3. Les effets d'une demande de déréférencement fructueuse
3.1. Seulement les liens URL sont déréférencés de Google, le contenu n'est pas effacé
Si Google accepte votre demande de retrait des liens (ou s'il est forcé de le faire par une AEPD ou par une décision de justice), cela ne signifie pas que le contenu, vers lequel ces liens dirigent, sera enlevé d'Internet. Le contenu restera exactement comme il était et vous pourrez toujours le trouver sur le Web.
Cependant, ceci ne signifie pas qu'il est inutile de remplir le formulaire demandant le retrait auprès de Google. Le déréférencement reste utile puisqu'il rend le contenu beaucoup plus difficile d'accès et à trouver. En effet, le déréférencement signifie que vous ne pourrez pas trouver le contenu en le cherchant sur Google, puisque Google aura enlevé les liens URL de ses résultats de recherche. Cela signifie également que les membres du public qui ne connaissent pas l'existence de ce contenu que vous voulez cacher ne tomberont jamais dessus en naviguant par hasard sur Internet.
3.2. Spécifique au pays/géolocalisation : une limitation spécifique à un pays, pour l'instant
Pour le moment, l'accord des demandes de déréférencement reste spécifique à chaque pays. Cela signifie que si Google a accepté, ou a été forcé d'accepter par une décision de justice, d'enlever des liens URL, et que la demande de déréférencement a été faite en France, alors c'est seulement lorsque vous cherchez sur l'extension française de Google "Google.fr", que vous ne trouverez plus ces liens. En effet, si vous prenez le temps pour vérifier aussi sur "Google.com", ou une autre extension de pays, alors vous trouverez les liens URL vers le contenu. Cela signifie que les liens ne seront pas trouvés par hasard désormais, mais ils seront toujours facilement disponibles pour les membres du public qui les recherchent activement.
3.3. L'action de la CNIL contre Google : une approche avant-gardiste
Cette approche molle adoptée par Google, par rapport à la restriction géographique étroite du processus de déréférencement des liens URL dirigeant vers le contenu controversé, n'est pas bien passée en Europe.
Le 10 mars 2016, après plusieurs lettres de mise en demeure et une tentative avortée de régler ce différend à l'amiable, la CNIL française a condamné Google à une amende de 100 000 euros pour violation des dispositions de la Directive 95/46/EC, des dispositions de la loi informatiques et libertés et de la jurisprudence de la CJUE sur le droit à l'oubli. Précisément, la CNIL a indiqué que Google devait déréférencer les URL sur toutes les extensions des noms de domaines de tous les pays, y compris "Google.com".
La CNIL a souligné deux points majeurs dans sa décision : les services de moteurs de recherche de Google constituent un seul processus de traitement des données personnelles et ses extensions géographiques ne peuvent être considérées comme un traitement de données séparé. En effet, l'entreprise a initialement exploité uniquement ".com" et a progressivement ajouté des extensions pour chaque pays afin de fournir des services plus adaptés à chaque pays et langue nationale.
Donc, pour que le droit des résidents français de déréférencer des liens URL en rapport avec leurs données personnelles soit correctement respecté, le déréférencement doit être appliqué à toutes les extensions des pays de Google. Google a rapidement fait appel contre la décision de la CNIL publiée publiquement, en déposant un rapport sommaire devant Conseil d'État français. Une décision du Conseil d'État est attendue et doit être rendue pendant le deuxième trimestre de 2017, donc soyez vigilant !
DATE-CHARGEMENT: 1 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
308 of 500 DOCUMENTS
Ouest-France
mardi 21 novembre 2017
Fuite de données : Laval n'est pas une exception
AUTEUR: Recueilli par Paul LORGERIE.
LONGUEUR: 636 mots
ENCART: La fuite de données issues du site municipal monlaval.fr est loin d'être un phénomène exceptionnel. Pour l'expert Eric Filiol, il s'agit d'un manque d'éducation face à la numérisation de nos modes de vies.
Entretien
Comment se fait-il que des informations aient pu fuiter du site monlaval.fr ?
Ce sont des choses qui sont malheureusement classiques. Les communes sont un peu désemparées. On leur demande de se mettre au numérique, mais elles n'ont pas forcément les ressources. Laval n'est pas une petite commune, mais les personnes en charge du site n'ont pas été formées à la sécurité informatique. Il y a une erreur, mais on ne peut pas les blâmer pour ça. Les systèmes informatiques n'ont pas de mode d'emploi. C'est comme si je proposais à quelqu'un de conduire ma voiture sans qu'il ait le permis. Heureusement, il semble ici que la personne ait très vite enlevé les choses. Ce que j'aimerais, c'est que les utilisateurs, comme ceux qui les créent, soient davantage sensibilisés.
La loi intervient-elle dans ce genre de situation ?
Ici, on est sur une imprudence de celui qui a mis au point le système. Il recueille les données, mais ne les sécurise pas. Le Règlement général de la protection des données (RGPD), acté en avril 2016 par l'Union européenne, doit être appliqué par les exploitants de données - les entreprises comme les collectivités locales - à l'horizon du 25 mai 2018. Il imposera la sécurisation des données personnelles, et typiquement ce genre de données.
Quel est le vrai risque pour les usagers ?
Prenons le mot de passe. Nous observons que les gens le réutilisent plusieurs fois. Pour des sites peu importants, comme La Redoute, mais aussi pour Facebook. Ce qui est déjà plus grave parce que l'on peut usurper l'identité de la personne. Ce peut être des sites comme Amazon aussi, avec les coordonnées bancaires. De ce point de vue, le préjudice est beaucoup plus critique que l'on ne pense.
Ce problème est-il récurrent ?
Je passe mes nuits à récupérer des fuites. Elles se comptent en centaine chaque jour. Et on parle de très grandes boîtes. Accenture (l'une des plus grandes entreprises de conseil au monde N.D.L.R.) a perdu toutes les données de ses clients, Numéricâble pareil, Deloitte aussi, le plus grand établissement financier américain a perdu les données d'un Américain sur deux... Ça se passe en permanence. J'ai récemment récupéré les bases internes d'un ministère du Qatar. Tout ça pour dire qu'il y a une hémorragie planétaire.
Comment cela se traduit-il ?
C'est commercialisé, d'abord. Notamment sur le web parallèle, plus communément appelé Dark web. Cela a une vraie valeur. Mettons vous souhaitez commettre une action délicate, voire délictueuse. Vous avez intérêt à utiliser les informations d'un tiers que vous incriminerez. Par exemple, vous voulez faire du harcèlement sur internet. Il suffit d'usurper l'identité de quelqu'un grâce au compte Facebook dont vous avez les identifiants. Il faut que les gens soient au courant. Mais, selon moi, il faudra 10 à 20 ans pour qu'ils soient correctement formés.
Mais pour un citoyen lambda, qu'est-ce qu'il peut mettre en oeuvre pour se protéger ?
Il vaut mieux stocker les choses chez soi quand il s'agit de données personnelles. Là encore, il faut sensibiliser, notamment par le vecteur scolaire. Tout utilisateur a maintenant des données digitales qu'elle doit stocker. Quand une personne doit donner des identifiants sur un site, il devrait y avoir un message alertant de ne pas utiliser le même mot de passe pour un autre compte, par exemple. En 10 ans, nous sommes passés de rien à tout. Pensez aux personnes âgées qui aujourd'hui affrontent cette évolution, et qui demain devront déclarer leurs impôts sur internet. N'est-ce pas une mise en danger numérique des utilisateurs ? Pour moi si. Et c'est là que l'État, censé protéger ses citoyens, les met en danger. Une fracture numérique est en train d'être créée dans le pays par une imposition du numérique trop rapide.
(1) ESIEA : École supérieure d'informatique électronique automatique.
DATE-CHARGEMENT: 21 novembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Les données qui fuitent peuvent être revendues sur le web parallèle. Les risques sont divers, mais l'usurpation d'identité est une récurrente.
Archives Ouest-France
Eric Filiol,directeur du laboratoire de cyber sécurité de l'ESIEA (1).
Archives Ouest-France
TYPE-PUBLICATION: Journal
CODE-REVUE: qo
Copyright 2017 Ouest-France
tous droits réservés
309 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 20 Novembre 2017
DreamQuark lève 3 millions d'euros pour muscler son IA dédiée aux banques
AUTEUR: Lélia De Matharel
RUBRIQUE: ARTICLES; Banque - assurance
LONGUEUR: 842 mots
ENCART: La solution de services financiers de la start-up tricolore est utilisée par une dizaine d'entreprises en Europe, dont BNP Paribas et AG2R La Mondiale.
La start-up DreamQuark a tapé dans l'½il des investisseurs. Créée en 2014, cette jeune pousse parisienne annonce ce 20 novembre une levée de fonds de 3 millions d'euros, pour soutenir son développement commercial et continuer à améliorer sa plateforme IA de services financiers destinée aux banques, aux assureurs et aux spécialistes de la gestion d'actifs. Le fonds d'investissement français Cap Horn Invest et l'accélérateur américain Plug and Play, basé dans la Silicon Valley, ont participé à ce tour de table.
La plateforme IA de DreamQuark est un couteau-suisse. Les acteurs du monde de la finance y branchent leurs données clients, marché et autre. La solution doit tourner pendant 15 jour avec ces data pour être fonctionnelle. Ensuite, en fonction de leurs besoins, ils peuvent obtenir une segmentation fine des profils susceptibles d'acheter tel ou tel produit financier, identifier les personnes qui vont prochainement résilier leur contrat (attrition) grâce à une série d'indices et se voir proposer des mesures efficaces pour les retenir, lutter contre le blanchiment d'argent ou la fraude, bénéficier d'une aide au placement pour leurs traders grâce à l'exploitation des inefficacités des marchés financiers...
La start-up compte une vingtaine de salariés et en recrutera 10 de plus d'ici la fin 2017. Elle espère réaliser en 2018 un chiffre d'affaires de 8 millions d'euros
DreamQuark totalise une dizaine de clients en Europe, un nombre qu'elle espère doubler en 2018. "Pour les grosses banques qui déploient nos solutions dans l'ensemble de leurs filiales, le retour sur investissement peut être de plusieurs centaines de millions d'euros, voir frôler le milliard", affirme le PDG et fondateur de DreamQuark Nicolas Meric, qui a lancé sa start-up après avoir obtenu un doctorat en physique des particules. La start-up compte une vingtaine de salariés et en recrutera 10 de plus d'ici la fin 2017. Elle espère réaliser en 2018 un chiffre d'affaires de 8 millions d'euros.
La plateforme de DreamQuark est utilisée par BNP Paribas pour lutter contre la fraude. Traditionnellement, les acteurs du monde de la finance utilisent pour ce faire un ensemble de règles statistiques qui analysent chaque paiement. Ces solutions non flexibles commettent des erreurs et génèrent des "faux positifs", ces transactions réputées frauduleuses bloquées par les banques alors qu'elles sont licites. En 2014, 120 milliards de dollars de règlements effectués sur Internet ont été refusés dans le monde alors qu'ils étaient réguliers, selon une autre start-up du secteur baptisée The AI Corporation. C'est un manque à gagner encore plus important que la fraude en elle-même pour les entreprises (dans le monde en 2014, les transactions frauduleuses étaient estimées à 14 milliards de dollars, selon la jeune pousse IA Ravelin). La solution autoapprenante de DreamQuark promet à la banque de faire de considérables économies de gestion en réduisant au maximum ces faux positifs.
"Pour les grosses banques qui déploient nos solutions dans l'ensemble de leurs filiales, le retour sur investissement peut être de plusieurs centaines de millions d'euros, voir frôler le milliard"
BNP Paribas utilise également DreamQuark pour lutter contre le blanchiment. "Les banques doivent appliquer des règles de plus en plus strictes à cause du terrorisme, la demande est donc forte dans ce champ", pointe Nicolas Meric. Le géant bancaire utilise également l'IA pour trouver les produits financiers les plus susceptibles de plaire à ses clients. "Il existe une forte traction de la part des autres divisions du groupe qui demandent à utiliser cette solution. Nous sommes en cours de négociation pour de nouveaux déploiements", assure l'entrepreneur. La start-up travaille également avec la mutuelle AG2R La Mondiale, sur des questions liées à l'attrition.
La mise en application dans toutes les entreprises de l'Union européenne le 25 mai 2018 du règlement général sur la protection des données (RGPD) n'inquiète pas la start-up. Ce texte oblige les établissements financiers à expliquer à leurs clients pourquoi ils ont décidé de ne pas leur accorder de crédit immobilier par exemple. Ils doivent leur donner s'ils le demandent les données et les règles sur lesquelles ils se sont basés pour prendre leur décision. Les solutions IA fonctionnent la plupart du temps comme des boites noires : il est très difficile de remonter la chaîne de règles algorithmiques et les données impliquées dans la prise d'une décision, car elles sont très complexes et nombreuses. "Nous travaillons sur cette problématique quasiment depuis le lancement de DreamQuark et sommes aujourd'hui capables de fournir à un client cette chaîne de décision et les données correspondantes. Notre IA n'est plus une boite noire et nos clients n'auront pas de problèmes avec la RGPD", assure le scientifique.
Botz, le produit financier qui mise tout sur l'IA et la robotique
Ce tracker avait attiré 1,5 million de dollars d'investissements à son lancement en septembre 2016. Il en gère désormais plus de 784 millions.
DATE-CHARGEMENT: 20 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
310 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 20 Novembre 2017
"La région doit être exemplaire en matière de protection de la vie privée"
AUTEUR: Philippe Crouzillacq
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 1444 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la déléguée à la protection des données personnelles de la Région Normandie évoque son rôle dans une collectivité locale.
JDN. Quel est votre parcours, pourquoi avoir choisi de vous orienter vers cette fonction ? Quelle est aujourd'hui votre place dans la structure organisationnelle de la région Normandie ? Flore Bonhomme est déléguée à la protection des données de la région Normandie. © Région Normandie
Flore Bonhomme. En 2012, la mission Informatique et Libertés m'a été proposée au sein de la Région Haute-Normandie et j'ai immédiatement perçu cette proposition comme une opportunité d'évoluer dans la collectivité tout en embrassant un domaine en pleine mutation. La même année, j'ai intégré le Mastère spécialisé en Management et Protection des données à caractère personnel à l'Institut Supérieur d'Electronique de Paris (ISEP), car ce poste nécessite des compétences juridiques mais également techniques.
J'ai d'abord été Correspondante Informatique et Libertés à mi-temps, ayant également pour mission d'initier la démarche d'ouverture des données publiques (Open Data) de la région. Depuis 2016, suite à la fusion des régions, je suis Déléguée à la protection des données personnelles à temps plein pour la région Normandie. Cette mission a toujours été rattachée à la Direction Générale afin de garantir la transversalité et l'indépendance du poste.
Je suis également désignée auprès de la Cada comme Prada (Personne responsable de l'accès aux documents administratifs et des questions relatives à la réutilisation des informations publiques). Il y a en effet une véritable complémentarité entre ces différentes missions, la Cnil et la Cada travaillant d'ailleurs de manière conjointe sur les enjeux liés à la donnée publique, surtout depuis la promulgation de la loi pour une République Numérique en octobre 2016.
Quels sont les principaux enjeux de votre action au sein de cette institution ?
Mon rôle est de garantir la bonne application de la Loi Informatique et Libertés au sein de la collectivité. Cette mission transversale a pour objectif d'accompagner les services et les projets et de mettre en place des processus dans le respect des droits des personnes. Le rôle du CIL est également de faire prendre conscience aux agents des enjeux de la protection des données, d'une part pour garantir la sécurité juridique de la collectivité et d'autre part pour développer la confiance des personnes dans les services de l'e-administration. J'accompagne des projets aussi différents que la mise en ligne d'une plateforme d'aides à destination des jeunes de la région, le déploiement des Espaces Numériques de Travail dans les lycées ou encore la conformité du traitement des données dans le cadre de la gestion du transport scolaire, nouvelle compétence de la région.
Je travaille en collaboration avec la direction des systèmes d'information (DSI), le délégué à la sécurité des systèmes d'information et les métiers afin que les objectifs de sécurité soient pris en compte et si possible dès la conception des dispositifs.
Le rôle du CIL est également d'être l'interface entre la Commission et l'organisme qui l'a désigné. Il n'est pas rare d'avoir des échanges avec les équipes de la Cnil afin de trouver des réponses à des problématiques nouvelles. Par exemple, au moment de la fusion des régions, un groupe de travail inter collectivités, réuni par la Cnil, a permis de faire remonter les questions qui pouvaient se poser aux collectivités et a donné lieu à la mise en ligne de recommandations. Au-delà des enjeux de protection des données, le CIL a un vrai rôle à jouer dans la mise en ½uvre d'une gouvernance de la donnée en interne. De par sa position transversale, il est à même de fédérer les différents acteurs qui travaillent sur ces sujets.
Quelles premières mesures avez-vous prises à votre arrivée ?
"Je conçois le rôle du CIL non pas comme un censeur mais comme un garant du respect de la vie privée dans les projets"
Ma première action a été de réaliser un recensement par direction des principaux traitements de données à caractère personnel afin d'établir le registre des traitements de la collectivité.
J'ai également participé avec le DSI à la mise en place d'une instance d'homologation des téléservices au sein de la collectivité afin de prendre en compte les problématiques liées à la sécurité des projets. En effet les collectivités sont soumises depuis 2010 à une obligation de sécurité conformément au référentiel général de sécurité (RGS).
L'objectif de cette démarche est d'évaluer les risques relatifs à un projet et de prendre les mesures techniques ou organisationnelles pour les réduire. Cette approche par les risques préfigure l'application du Règlement européen sur la protection des données qui rendra obligatoire les études d'impact sur les personnes pour les traitements sensibles. Il a fallu également formaliser un circuit de déclaration des traitements internes afin de pouvoir auditer chaque traitement et d'en suivre la conformité dans le temps.
Je conçois le rôle du CIL non pas comme un censeur mais comme un garant du respect de la vie privée dans les projets ; nous sommes là pour trouver des solutions. C'est cette valeur ajoutée qu'il faut arriver à porter auprès de nos collègues.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
La sensibilisation doit se faire à tous les niveaux. J'essaie d'intervenir dans les instances ou comités de pilotage existants et de réaliser une information ciblée auprès des acteurs concernés que ce soit les services de la collectivité ou des partenaires.
Pour certains projets, il est nécessaire de formaliser des codes de bonne conduite. Je pense par exemple à des projets partenariaux comme la billettique intermodale Atoumod en Normandie qui réunit beaucoup de partenaires et qui nécessite de formaliser les bonnes pratiques. D'autres projets exigent une information des représentants du personnel ; j'interviens alors en comité technique sur ces projets pour expliquer comment ces dispositifs ont été déployés dans le respect des recommandations en vigueur.
Dans la nouvelle organisation, un réseau social collaboratif vient d'être mis en ½uvre. Je pense que cet outil va être un media important pour diffuser les bonnes pratiques sur ces sujets. Dès 2018 des actions de sensibilisation (présentiel, e-learning, etc...) vont être organisées en fonction des profils pour que chaque service se sente concerné par les enjeux autour de la donnée.
La région, en collaboration avec le CIL du département de la Seine-Maritime a depuis 2016 créé le groupe Normandie de l'AFCDP. Ce groupe qui réunit les professionnels de la protection des données de la région permet de partager nos approches et de confronter les différentes problématiques que nous rencontrons au sein de nos structures. Les technologies et la réglementation évoluant en permanence, les CIL ont besoin de réaliser une veille active dans ces domaines.
Quels sont vos principaux chantiers à venir ?
"L'année 2018 sera consacrée à la mise en conformité au RGPD"
Suite à la fusion et à la nouvelle organisation de la région localisée sur deux sites (Caen et Rouen), il apparaît indispensable de pouvoir s'appuyer sur un réseau structuré de référents dans les directions.
Des personnes relais ont toujours joué ce rôle de manière informelle mais aujourd'hui il y a un véritable besoin d'avoir une démarche coordonnée et de pouvoir former ces relais aux différente enjeux de la donnée et du numérique : protection de la vie privée, open data, dématérialisation, etc...
La région doit être exemplaire en la matière. Lors de partenariats ou dans le cadre des marchés publics, les documents contractuels doivent intégrer des clauses relatives à la protection des données. Un travail est en cours pour adapter ces clauses à la nouvelle réglementation.
L'année 2018 sera consacrée à la mise en conformité au RGPD, à la sensibilisation des agents et à la formalisation d'un certain nombre de procédures afin de pouvoir répondre aux exigences du Règlement.
La mission existant depuis quelques années déjà, nous ne partons pas de rien même si de nombreux chantiers restent encore à mener. La protection des données est une démarche d'amélioration continue qui nécessite l'implication de l'ensemble de la chaîne d'acteurs, collectivités, prestataires, partenaires.
Face aux défis du numérique, les managers doivent s'emparer de cette culture de la donnée au sein des collectivités, au même titre que la maîtrise de la réglementation dans le domaine des marchés publics, des finances ou des Ressources Humaines.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 20 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
311 of 500 DOCUMENTS
Le Figaro Online
lundi 20 novembre 2017 05:15 PM GMT
Wiko accusé d'envoyer des données en Chine sans l'accord de ses utilisateurs
AUTEUR: Lucie Ronfaut; lronfaut@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 558 mots
ENCART: La marque française de mobile est épinglée par un utilisateur de Twitter. Il dénonce l'existence de plusieurs applications permettant de transmettre des données à l'insu de ses clients.
Wiko transmet-il des informations sensibles à l'insu de ses utilisateurs? Sur Twitter, un dénommé «Elliot Alderson», un surnom en hommage à la série télévisée Mr Robot, a dénoncé dimanche les pratiques de la marque française de smartphones. D'après lui, les mobiles de l'entreprise sont équipés d'applications préinstallées avant leur commercialisation, dont le but est de transmettre des informations sur ses clients à Tinno. Cette société chinoise est partenaire de longue date de Wiko: elle fabrique les smartphones, qui sont ensuite vendus par l'entreprise française. Ces données portent notamment sur le numéro de série ainsi que le code IMEI, qui permet d'identifier tous les mobiles dans le monde. Le but de ce service est, en théorie, de vérifier l'utilisation et la durée de vie d'un produit.
«Elliot Alderson» précise que ces informations sont transmises tous les mois à Tinno. Elles ne seraient pas chiffrées, c'est-à-dire pas protégées. N'importe quelle personne interceptant ces messages peut donc, a priori, les lire. Les utilisateurs n'ont pas la possibilité de désinstaller ces applications ou de les paramétrer pour arrêter cette transmission d'informations.
Établir des statistiques
Contacté par le Figaro, Wiko relativise l'affaire. «Les smartphones Wiko sont équipés de l'application STS (Sales Tracking System) dont la finalité est d'établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d'ordre technique, notamment le numéro IMEI, le numéro de série, le nom du modèle du téléphone, la version du système d'exploitation Android», précise l'entreprise. «L'activation se fait au premier allumage, et chaque mois, exclusivement via une connexion Internet, et jamais par SMS. Aucune donnée relative à l'utilisateur, à l'utilisation du smartphone ou des applications n'est collectée.» Wiko assure, par exemple, que la localisation ou le numéro de téléphone de ses utilisateurs n'ont jamais été transmis via l'application STS, contrairement à ce qu'affirme «Elliot Alderson» sur Twitter.
10 millions de mobiles vendus en 2016
Wiko précise enfin qu'une nouvelle version de cette application STS devrait être progressivement installée dans ses mobiles dès le mois prochain. Elle ne sera exploitée qu'une seule fois, lors de l'activation du téléphone, plutôt que tous les mois. Les données seront par ailleurs stockées en Europe, et non en Chine. Wiko ne détaille pas pour le moment comment ses anciens smartphones seront mis à jour pour recevoir cette nouvelle application, en remplacement de celle de Tinno. Ce changement doit s'opérer dans le cadre du RGPD, le règlement européen pour la protection des données, qui doit entrer en vigueur l'année prochaine.
Lancée en 2011, Wiko est devenu un acteur majeur des téléphones bas et moyen de gamme en France. Installée à Marseille, l'entreprise est a vendu plus de 10 millions de mobiles en 2016, dans une quarantaine de pays.
Wiko n'est pas la seule entreprise dénoncée par «Elliot Alderson». La semaine dernière, il s'est est pris aux smartphones de la marque chinoise OnePlus. Cette dernière a installé sur certains de ses téléphones une application qui permettait d'accéder, en partie, à leur système d'exploitation, à l'insu des clients. OnePlus a annoncé quelques jours plus tard que ce problème allait être corrigé.
DATE-CHARGEMENT: 20 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
312 of 500 DOCUMENTS
Le Cercle
lundi 20 novembre 2017
Protection des données personnelles : enjeu urgent pour les entreprises
AUTEUR: Olivier Duffour
RUBRIQUE: ARTICLE; La traduire dès à présent
LONGUEUR: 569 mots
ENCART: LE CERCLE/POINT DE VUE - D'ici mai 2018, les entreprises devront mettre à jour leur gestion des données utilisateurs. Un véritable bouleversement, mais aussi l'opportunité d'établir une nouvelle relation de confiance.
Une nouvelle directive européenne (Règlement Général sur la Protection des Données personnelles) adoptée en décembre 2015 par le Parlement, vient renforcer les obligations des entreprises et des administrations européennes en matière de traitement des données individuelles sensibles pour les protéger des piratages et en assurer l'accès à leur propriétaire (droit d'accès et de rectification mais aussi droit à l'oubli).
Lire aussi :
> La protection des données personnelles des clients, nouveau chantier des banques
> Données personnelles : la CNIL veut protéger les automobilistes
Cette obligation est assortie en cas de non-respect, de pénalités pouvant être très lourdes (20 millions € ou 4% du CA mondial). L'application sera obligatoire à partir du 25 mai 2018.
Une contrainte et un atout
Cette directive implique que les entreprises et administrations aient une vision claire des données collectées, des process de traitement et des sécurités pour en assurer la protection. Ce règlement prévoit également l'obligation de se doter d'un Data Protection Officer (DPO). Son rôle sera de confirmer la bonne application de la directive et d'assurer le bon maintien du dispositif de protections de données personnelles.
L'enjeu aujourd'hui pour les entreprises est donc d'enclencher le pilotage d'un projet de mise en conformité permettant l'application progressive de la nouvelle règle.
Si quelques-uns y voient une nouvelle contrainte, certaines entreprises ont compris que ce règlement pouvait aussi constituer une opportunité majeure et structurante de développer leur impact auprès des consommateurs sur le fondement de la confiance. La contrainte devient alors un atout qui débouche sur un avantage compétitif.
Vers une pénurie de candidats
En France, très attentive à la protection des données personnelles sur Internet la CNIL a instauré dès 2005 la présence de correspondant informatique et libertés (CIL). Celui-ci peut intervenir dans les entreprises ou les administrations. Mais cet interlocuteur n'est pas obligatoire, il sert d'intermédiaire entre l'entreprise et la CNIL de manière bénévole en plus de son travail.
Selon les données de l'Association française des correspondants des données à caractère personnel (AFCDP), en juin 2017, il existe 5.000 correspondants informatiques et libertés qui agissent auprès de 18.000 personnes morales.
Lire aussi :
> Protection des données personnelles : les apports du nouveau règlement européen
Une goutte d'eau alors que 50.000 postes sont à pourvoir dans l'optique de respecter la nouvelle réglementation, avec des profils atypiques mixant notamment expertise juridique et informatique.
Plusieurs formations permettent déjà d'accéder à un poste de Data Protection Officer (DPO). Elles peuvent être délivrées par des universités ou des écoles d'ingénieurs, mais elles ne pourront pas fournir des candidats à tous les emplois nouvellement crées.
La traduire dès à présent
L'exigence de conformité au RGPD est maintenant dans tous les agendas des directions générales, juridiques, risques, IT et métiers.
Un bouleversement qui va toucher les pays de l'Union européenne, il reste à traduire cette nouvelle réglementation concrètement dans les projets des entreprises avant l'échéance de mai 2018 en trouvant des solutions pragmatiques et opérationnelles.
Olivier Duffour est associé RH X-PM, acteur du management de la transition et de la transformation des entreprises
DATE-CHARGEMENT: 1 décembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
313 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 17 Novembre 2017
"On lit à tort que le DPO est une nouvelle fonction, mais le RGPD qui la crée ne part pas de zéro"
AUTEUR: Xavier Biseul
RUBRIQUE: INTERVIEW; Santé
LONGUEUR: 1371 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la DPO de la Caisse nationale des allocations évoque ses chantiers pour gérer les données des 52 millions d'allocataires traitées par l'organisme.
JDN.Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de la Cnaf, de quelle direction dépendez-vous ? Marie-Noëlle Séhabiague est la DPO de la Caisse nationale des allocations familiales. © Cnaf
Marie-Noëlle Séhabiague (Cnaf). Il y a autant de parcours de DPO que de profils. De formation analyste-programmeur, j'ai fait toute ma carrière à la sécurité sociale. Je suis rentrée par concours à la Cpam de Haute-Savoie puis je suis passée de fonctions techniques à des responsabilités managériales et organisationnelles. J'ai notamment été chef de projet à la DSI, directeur de caisse et, depuis 6 ans, directrice adjointe de la Caisse nationale des allocations familiales (Cnaf).
Je suis à l'origine du référentiel national des bénéficiaires de la branche famille, soit une base de données recensant les 52 millions d'allocataires. Dans la suite logique, on m'a confié la gouvernance de ces données en me nommant, en 2012, Correspondante informatique et libertés (CIL) de la Cnaf.
Rattachée au directeur général de la Cnaf, Daniel Lenoir, je suis également directrice de la Macssi (Mission de l'analyse de la conformité informatique et libertés et de la sécurité du système d'information) et responsable MOA stratégique de la sécurité du système d'information.
J'ai démarré seule avec une secrétaire de direction. Depuis, mon équipe s'est étoffée de trois chefs de projet conformité Informatique & Libertés et d'un chef de projet sécurité du SI. Je suis aussi CIL mutualisé pour la quasi-totalité des 102 caisses locales. Pour les 18 caisses qui ont désigné des CIL, ces derniers seront maintenus jusqu'au 25 mai 2018. Je m'appuie aussi sur des relais informatique et liberté au sein de chaque caisse.
Quels sont les principaux enjeux de votre action au sein de la Cnaf ?
Ces enjeux sont de différents ordres. Au-delà des obligations réglementaires, il s'agit de faire de la conformité Informatique & Libertés un enjeu d'éthique en résonance avec les valeurs sociales portées par la Cnaf. Nous devons garantir la confiance que placent en nous les allocataires, d'autant que la Cnaf est en position de monopole. Les usagers ne peuvent changer d'organisme en cas de désaccord. L'autre enjeu consiste à conseiller et accompagner les directions métier. Le RGPD ne doit pas être perçu comme un frein aux projets. Si nous sommes saisis en amont d'un chantier, nous pouvons démontrer que la protection de données personnelles n'entrave en rien l'innovation et qu'elle peut même devenir une opportunité.
Quelles premières mesures avez-vous prises à votre arrivée ?
"J'ai eu à traiter d'un cas d'usage particulièrement sensible et complexe puisqu'il portait sur des flux transfrontaliers de données"
Avant même d'être nommée CIL, j'ai suivi une formation. En l'occurrence, le mastère spécialisé Informatique & Libertés dispensé par l'Isep. Ce cursus m'a apporté les bases juridiques indispensables à mes nouvelles fonctions et permis d'être pleinement opérationnelle. Le sujet de ma thèse professionnelle portait sur la politique des conformités des Caf et l'organisation du réseau de la branche famille. Elle a donné lieu à la création de la direction audit, conformité informatique et liberté et de sécurité SI.
La deuxième mesure a été d'adhérer à l'Association française des correspondants à la protection des données à caractère personnel. Le CIL/DPO est un peu seul. J'ai trouvé à l'AFCDP un réseau d'experts efficaces.
La troisième mesure n'était pas de mon initiative puisque la Cnaf a été contrôlée par la Cnil peu de temps avant ma nomination. Cela a permis de me faire connaître et reconnaître par l'ensemble des directions de l'organisme. J'ai aussi pu mettre en place des procédures de contrôle.
Enfin, j'ai eu à traiter d'un cas d'usage particulièrement sensible et complexe puisqu'il portait sur des flux transfrontaliers de données avec des sous-traitants situés hors de l'Union européenne. Sans ma formation à l'Isep, j'aurais été démunie. J'ai toutefois fait appel à un avocat spécialisé. Autant dire que j'ai tout de suite été mise dans le bain.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
De par mon statut, je participe à l'intégralité des réunions de comité direction. Certaines demandes de la Cnil sont notamment soumises à l'avis du conseil d'administration de la Cnaf. En tant que directrice de la Macssi, j'interviens aussi au comité des directeurs de caisses. Des réunions thématiques sont également organisées avec les relais Informatique & Libertés et les CIL des caisses par Webex ou visioconférence. Il y aussi entre nous un rendez-vous annuel et un intranet dédié.
Avec l'arrivée du RGPD, des séances de sensibilisation sont menées auprès des équipes de la DSI. J'interviens physiquement sur les différents sites. Les séances durent 3 heures et les contenus s'adaptent en fonction du domaine activité du service. Nous avons des intérêts communs avec la DSI, la sécurité est un préalable à la conformité.
Je participe également aux réunions d'intégration des nouvelles recrues pour évoquer les enjeux de conformité. Enfin, j'ai entrepris au printemps dernier un tour de France des caisses qui a démarré par les Ardennes et Marseille.
Quel est le degré de criticité des données personnelles gérées par la Cnaf ?
En gérant les droits liés aux prestations familiales, au handicap, à la solidarité ou au logement, la Cnaf traite des données dont le degré de criticité est extrême. Au-delà des données classiques d'identification comme le numéro de sécurité sociale, nous avons notamment connaissance de la situation financière (revenus, créances) des foyers. La Cnaf a une vision dans le temps des familles dont certaines sont en détresse. Qui d'autres que les Caf sont dépositaires de tant de données personnelles ?
Quels sont vos principaux chantiers à venir ?
"Les CIL sont légitimes à occuper le poste sous couvert de suivre des formations pour compléter leurs compétences"
Nous allons poursuivre nos actions pour nous mettre en conformité avec le RGPD et être prêts à l'échéance. Cela passe par des actions d'anonymisation et de tokenisation des données mais aussi par la mise en place de processus de notification en cas de violation des données. Il s'agit aussi de renforcer nos efforts de sensibilisation auprès des équipes de la DSI afin que les principes de privacy by design et de privacy by default deviennent des automatismes.
A cet effet, nous avons contribué à une méthode de conduite de projet qui, de la conception d'un projet à sa mise en ½uvre, intègre ces notions. C'est un changement de culture qui demande du temps mais la dynamique est lancée. Comment mener des projets de big data dans le respect de la vie privée ? C'est un défi à relever à l'heure de la transformation numérique.
Par ailleurs, la Cnaf s'inscrit dans une démarche de dématérialisation totale des demandes de prestation et ce, en phase avec les annonces récentes du président de la République. Tous les services suivront cette voie de la digitalisation dans le respect de la vie privée des usagers.
Enfin, un CIL/DPO doit gérer le quotidien, comme la tenue du registre des traitements, tout en faisant face aux urgences comme une demande de droit d'accès émanant d'un allocataire ou la réponse dans des délais contraints à une plainte déposée auprès de la Cnil. Les services de l'Etat nous demandent aussi régulièrement l'avis de la Cnaf sur un texte, un projet de loi. Il faut maîtriser ces deux temporalités, le quotidien et l'urgence.
On lit à tort que le DPO est une nouvelle fonction, mais le RGPD qui la crée ne part pas de zéro. Les fondamentaux étaient déjà largement présents dans la loi Informatique & Libertés. En cela, les CIL sont légitimes à occuper le poste sous couvert de suivre des formations pour compléter leurs compétences. La forte médiatisation du RGPD crée un véritable engouement autour du DPO. Certains ont compris que le poste devenait stratégique alors que le CIL était jusqu'alors peu considéré.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 17 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
314 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 17 Novembre 2017
Comment Société Générale bétonne son projet RGPD
AUTEUR: Charlie Perreau
RUBRIQUE: ARTICLES; Banque - assurance
LONGUEUR: 1455 mots
ENCART: La banque française a nommé un data protection officer début octobre. Voici les principaux chantiers qu'elle mène pour être prête en mai prochain.
Le Règlement européen sur la protection des données (RGPD) est un sujet très sensible pour les banques. Axa Banque, BNP Paribas, BPCE, Crédit Agricole, HSBC France, La Banque Postale, LCL... Contactées par le JDN, aucune d'entre elles n'a souhaité s'exprimer. Seule Société Générale a bien voulu nous parler de sa préparation à cette réglementation, qui se chiffre en "dizaine de millions d'euros", selon elle. Pour la mener à bien, elle a nommé son data protection officer (DPO) en octobre dernier.
C'est Antoine Pichot, ancien codirecteur de la stratégie, du digital et de la relation au sein de la banque de détail, qui a pris cette casquette. "En nommant un DPO, Société Générale envoie un signal fort. On montre qu'on prend le sujet au sérieux et qu'on anticipe", s'enthousiasme l'intéressé. Le DPO de la banque de la Défense a plusieurs missions : assurer la mise en conformité du groupe, accompagner les métiers et faire l'interface avec la Cnil.
"C'est historiquement dans la culture d'une banque d'appliquer des règles de confidentialité"
La question de la protection des données personnelles n'est pas nouvelle pour l'établissement bancaire. "Dans son bureau, le conseiller discute avec son client de sujets très intimes. Il sait très bien qu'il ne doit pas divulguer ces informations. C'est historiquement dans la culture d'une banque d'appliquer des règles de confidentialité. Et cette pratique est diffusée au-delà des conseillers", souligne Antoine Pichot. "Depuis longtemps, on manipule beaucoup de données. On a développé un savoir-faire, notamment sur des aspects de sécurité", ajoute-t-il. Société Générale compte depuis plusieurs années dans ses effectifs un correspondant informatique et libertés (CIL), des relais dans le groupe pour accompagner les métiers sur cette problématique et une équipe conformité. Sans compter l'équipe juridique qui participe évidemment à toutes ces mises à niveau. Grâce à ces prérequis, Société Générale a déjà pu démarrer de gros chantiers pour être conforme à GDPR. Mais certains restent encore à mettre sur plan.
Le consentement du client : en construction
Le fameux proverbe "qui ne dit mot consent" n'est pas du tout "GDPR compliant". L'article 7 stipule que "le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale." Société Générale prévoit de lancer des campagnes pour recueillir les consentements des clients en agence et sur le web. La banque spécifiera quel usage elle souhaite faire de chaque donnée du client. "Ce consentement éclairé exige de notre part une demande explicite, simple, très compréhensible et sans équivoque pour le client. La case pré-cochée n'est pas conforme à GDPR par exemple. Le client doit manifester son consentement de manière très claire", insiste le dirigeant. "Concrètement, il faut poser cette question : est-ce que vous m'autorisez à utiliser vos données pour faire de la démarche sur tel autre produit ? Si l'usage de la donnée change, il faut l'avertir de manière très explicite", illustre-t-il.
La transparence vis-à-vis du client : en rénovation
Les petits astérisques en bas de page vont être mis à mal. L'article 12 précise que "le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples." "Nous comme en train d'actualiser tous nos documents contractuels, nos brochures disponibles en agences ainsi que les informations sur nos sites pour être le plus transparent possible", assure le dirigeant.
Les procédures d'alertes : en rénovation
Et si des informations ne sont plus protégées ? L'article 33 impose qu'en cas de violation de données à caractère personnel, le responsable du traitement doit le signaler à l'autorité de contrôle compétente dans un délai maximal de 72 heures après en avoir pris connaissance. Si la donnée est jugée très sensible, la banque doit aussi prévenir le ou les clients concernés. S'il ne le fait pas, le régulateur s'en chargera. Pour Société Générale, rien de bien nouveau sous le soleil. "En termes de gestion de crise, nous avons déjà des dispositifs. Nous devons seulement ajouter des "triggers" (des déclencheurs, ndlr) et intégrer ce délai de 72 heures, qui n'existait pas, à nos processus existants", souligne Antoine Pichot.
Le registre des activités de traitement : en reconstruction
Et la pierre angulaire de GDPR est... le registre des traitements. L'article 30 exige des entreprises de plus de 250 salariés de tenir ce document qui comprend notamment le nom et les coordonnées du responsable de traitement, les finalités du traitement ou encore les transferts de données à caractère personnel. Pour Société Générale, ce registre est une opportunité pour tout remettre à plat. "On doit recenser l'ensemble des traitements que nous faisons et qui incluent des données personnelles. Ce n'est pas qu'un recensement c'est aussi l'occasion de se reposer la question de ce traitement, sa finalité, son fondement, des mesures qui l'encadrent... Une fois constitué, on fera vivre ce registre au fil du temps. Ce sera un peu la colonne vertébrale du projet GDPR", résume Antoine Pichot.
Les partenaires en règle : en construction
Les règles s'appliquent à tout le monde. Selon l'article 28, les sous-traitants des banques doivent aussi être conformes à GDPR. Il s'agit des agences de communication, des gestionnaires de DMP, des sous-traitants marketing... Société Générale imagine différents cas pour vérifier leur conformité. "Cela passe de la clause contractuelle qu'on va mettre dans nos contrats pour manifester cet engagement réciproque et cela peut aller pourquoi pas jusqu'au déclenchement d'un audit si on veut s'assurer de la conformité et des dispositifs mis en place par nos partenaires", précise Antoine Pichot.
Le rôle des collaborateurs : en reconstruction
Quels salariés sont concernés par RGPD ? Tout le monde pour la Société Générale, qui a lancé en 2016 un programme sur la protection des données qui touche l'ensemble des collaborateurs du groupe. "Nous nous sommes organisés en deux étages : une équipe centrale qui définit les normes, les principes, la méthodologie, les guidelines. Dans chaque métier, on a des équipes projets dont le rôle est de décliner toutes ces règles et guidelines en fonction du contexte local. Cela concerne notamment le contexte réglementaire local car GDPR laisse un champ aux régulateurs locaux pour adapter certaines choses", précise Antoine Pichot. "Cette organisation à deux étages nous a permis d'onboarder très largement et très tôt l'ensemble de nos métiers. Par conséquent, on a la garantie qu'à la fin on aura un système efficace et adapté au contexte local."
Privacy by default, sécurité, nouveaux droits... : les autres chantiers
99. C'est le nombre d'articles contenus dans RGPD et autant de potentiels chantiers. Voici quelques exemples.
Le privacy by default : ce concept impose de réfléchir à la protection des données personnelles en amont de la conception d'un produit ou d'un service. "C'est un principe que nous devons inclure dans nos processus", affirme Antoine Pichot. La sécurité : "Tout ce qui tourne autour de la sécurité des données personnelles est déjà inclus dans nos programmes plus globaux de sécurité, notamment de lutte contre la cybercriminalité." Les nouveaux droits : Il s'agit du droit à la portabilité, du droit à l'oubli... "Nous devons intégrer les droits nouveaux pour nous assurer de la robustesse de nos dispositifs existants dans la perspective d'un volume de demandes plus élevés qu'aujourd'hui." Les nouvelles responsabilités : "Il y a une sorte de transfert de responsabilité du régulateur vers nous car il nous demande de faire nous-même notre diagnostic sur les traitements, notre analyse de chaque traitement, de son fondement, de sa finalité, des mesures qui vont l'encadrer. Après on prendra nos décisions et on rendra compte a posteriori au régulateur."
Que se passera-t-il après le 25 mai ? "Ce n'est que le début. C'est un processus d'amélioration en continu. De nouveaux traitements vont arriver, le registre devra vivre. Il restera encore des points à consolider", conclut Antoine Pichot.
Et aussi : Protection des données : voici comment être en règle pour 2018
Le GDPR, règlement européen qui renforce le droit des utilisateurs en matière de données personnelles, entrera en application en mai de l'an prochain. D'ici là, 4 actions doivent être menées.
DATE-CHARGEMENT: 24 Mai 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
315 of 500 DOCUMENTS
Chef d'entreprise
16 novembre 2017
Edition 1
RGPD : TROIS ÉTAPES À SUIVRE AVANT MAI 2018
AUTEUR: Par Romain Maillard
RUBRIQUE: EN PRATIQUE; Pg. 50,51
LONGUEUR: 1097 mots
ENCART: Le RGPD, qui vise à renforcer les droits des personnes dont les données sont collectées, entrera en application le 25 mai 2018. Revue de détail des chantiers à entreprendre pour s'y préparer.
1 CARTOGRAPHIER les traitements de données personnelles. La tenue d'un registre des traitements mis en oeuvre dans l'entreprise est une des clés de voûte du Règlement général pour la protection des données. Les entreprises doivent être en capacité d'identifier avec précision les types de données à caractère personnel dont elles disposent et savoir où celles-ci sont stockées et transférées. Afin d'élaborer ce registre, vous devrez lister pour chaque traitement de données personnelles : la finalité du traitement (les objectifs poursuivis) ; la nature des données traitées ; les acteurs internes et externes qui traitent ces données ; la localisation de ces données ; les flux amont et aval (l'origine et la destination) ; les temps de conservation ; le volume.
2 ANALYSER la conformité des traitements recensés. Pour apprécier la criticité des traitements inventoriés, vous devrez vous poser, entre autres, deux questions : - les données récoltées nécessitent-elles une vigilance accrue au regard du Règlement (données traitées de façon systématique aboutissant au profilage, etc.) ? - les données récoltées sont-elles strictement nécessaires à la poursuite des objectifs (principe de minimisation) ? Une fois les traitements à risque identifiés, il s'agira d'évaluer si les dispositifs de maîtrise en place sont appropriés à travers des PIA (privacy impact assessments). Vous devrez recenser les mesures de sécurité mises en place pour protéger notamment la confidentialité et l'intégrité des données. Vous devrez aussi identifier les stratégies qui doivent être déployées pour respecter les exigences du Règlement. Il pourra être envisagé de renforcer la robustesse des processus d'attribution, de suppression et de revue périodique des droits d'accès. En fonction du niveau de maturité de votre organisation, une gestion des droits beaucoup plus fine pourra être nécessaire. De même, vous devrez vous assurer de la protection suffisante de vos infrastructures, notamment en vous penchant sur le processus de gestion des correctifs (système d'exploitation, système de gestion de base de données, applications, antivirus, pare-feu, etc.). Enfin, il faudra s'attarder sur le plan de sauvegarde et la manière dont sont conduits les tests de restauration pour évaluer le risque d'indisponibilité des données personnelles.
3 REFONDRE vos processus internes. En parallèle du renforcement des mesures de sécurité, il faut définir finement les actions à entreprendre sur cinq grands volets.
· Définir les modalités d'exercice des droits des personnes. Le Règlement renforce le droit à l'information des citoyens européens : les entreprises qui administrent un fichier contenant des données personnelles doivent ainsi se soumettre à une obligation de transparence. L'identité du responsable de traitement, la finalité du traitement, la durée de conservation des données et l'ensemble des droits des personnes associées doivent être communiqués de façon claire et concise. Dans la même veine, les conditions de recueil du consentement ont aussi été consolidées : désormais, le responsable du traitement devra veiller à ce que ce consentement soit donné de manière non ambiguë, autrement dit par un acte positif. Si le traitement comporte plusieurs finalités, le consentement devra être donné pour chacune. Les modalités d'information et de collecte devront être ajustées en ce sens. Le RGPD crée également de nouveaux droits (à la portabilité, à la limitation, à l'oubli), qui viennent s'ajouter à plusieurs droits préexistants (droits d'accès, d'opposition, de rectification). Les process doivent être mis à jour pour que les personnes puissent exercer leurs droits correctement. Les modalités d'exercice de ces droits pourront être scrutées par les autorités de contrôle, mais pas uniquement : comme pour la législation sur la protection des consommateurs, les associations référentes en matière de protection des données personnelles pourront bientôt introduire des recours collectifs.
· Intégration du principe de "privacy by design". Le principe de "privacy by design" devra être incorporé aux procédures : il faudra définir les mesures de protection des données appropriées dès la phase de conception d'un nouvel outil ou d'une nouvelle application. L'organisation, pour chaque étude d'impact, veillera à impliquer les différentes parties prenantes (responsable, métiers, programmeurs, RSSI... si besoin) de façon collaborative.
· Mentions légales en matière de protection des données personnelles. Le Règlement crée un "écosystème de responsabilités" : la plupart des obligations sont les mêmes pour les sous-traitants (exemples : éditeurs de CRM, sites spécialisés dans l'e-mailing, etc.) que pour les responsables du traitement. Les sous-traitants doivent désormais présenter des garanties suffisantes. La Cnil exige des engagements contractuels forts et recommande, dans cette perspective, la définition de clauses rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
· Capacité à notifier rapidement toute violation de données. En cas de violation de données, l'entreprise doit pouvoir alerter la Cnil dans un délai de 72 heures. Pour respecter ce délai, il est recommandé aux organisations d'élaborer un formulaire de notification de violation de données et d'optimiser les processus d'escalade en définissant les rôles de chacun dans le process de gestion de crise.
· Actions de sensibilisation. L'étendue des droits des personnes et la notion de données sensibles doivent être connues de tous. L'entreprise devra articuler des actions de sensibilisation auprès des collaborateurs et des managers les plus exposés (à travers son plan de formation), ceci afin d'assurer une meilleure remontée des risques et des anomalies, et de favoriser un plus grand respect des règles par tous.. @Chef_Entreprise
L'AUTEUR Romain Maillard est senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne et intervient sur de nombreux sujets liés à la compliance.
Identifier
les stratégies
à déployer.
Les entreprises doivent pouvoir identifier les types de données à caractère personnel qu'elles ont.
Recensez les mesures de sécurité mises en place pour protéger confidentialité et intégrité des données.
En cas de violation de données, l'entreprise doit pouvoir alerter la Cnil dans les 72 heures.
La notion de données sensibles doit être connue de tous.
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: CDE
Copyright 2017 Chef d'entreprise
tous droits réservés
316 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Jeudi 16 Novembre 2017
"La veille fait pleinement partie du travail du DPO"
AUTEUR: Alain Clapaud
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 972 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, le DPO du réseau associatif ADMR explique comment il orchestre la gestion des données personnelles dans 2 700 associations locales.
Plus important réseau associatif français dédié aux services à la personne, l'ADMR regroupe 2 700 associations locales implantées dans toute la France.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation d'ADMR, de quelle direction dépendez-vous ? Dominique Bricot est le DPO de l'ADMR. © ADMR
Dominique Bricot (ADMR). Je suis aujourd'hui directeur de projets rattaché à la direction générale de l'Union nationale ADMR, après avoir été directeur départemental, puis responsable de projets structurants au niveau national. J'avais donc une forte culture métier et une vision transversale du réseau ADMR de plus de 24 ans, avant d'être désigné CIL en 2012 et DPO aujourd'hui. Le rattachement direct à la drection de l'UNADMR traduit la volonté d'inscrire la protection des données à caractère personnel dans les orientations et valeurs du réseau ADMR. Je ne suis ni informaticien, ni juriste de formation, mais spécialiste de la gestion des services à la personne. A la suite de l'affaire Acadomia, la Cnil avait souhaité sensibiliser le monde du service à la personne quant à la problématique de protection des données personnelles.
Quels sont les principaux enjeux de votre action au sein d'ADMR ?
La particularité de notre organisation est d'être composée de multiples entités juridiques. C'est ainsi que je suis le CIL pour... 2 408 entités juridiques. L'autre particularité, c'est que ces entités sont spécialisées dans le service à la personne et donc traitent des quantités importantes de données personnelles. Si on consolide l'ensemble, nous traitons les données d'environ 1,5 million de personnes, qu'il s'agisse des intervenants, des personnes chez qui ils délivrent une prestation et leur environnement.
Quelles premières mesures avez-vous prises à votre arrivée ?
Je suis CIL/DPO quasiment à temps plein. La particularité de mon action est d'avoir mis en place des relais départementaux avec, pour chacune des 76 fédérations départementales, 2 relais par département : un salarié et un bénévole. L'ADMR a la particularité d'être un mouvement associatif, géré et animé par des administrateurs bénévoles.
Cette organisation nous a permis de faire face au nombre important de structures qui la composent mais aussi d'appréhender les particularités de certaines. Je forme ces relais, je les réunis une à deux fois par an et je leur ai mi à disposition un portail intranet où nous pouvons échanger, analyser les traitements, suivre l'exercice des droits des personnes et poser des questions au quotidien. Une documentation spécifique est à leur disposition, avec divers modèles, des instructions et procédures afin d'être en capacité de comprendre toute question liée à la protection des données et apporter un premier niveau de réponse.
J'ai mis en place trois niveaux d'action. D'une part l'audit des entités départementales tous les deux ans au minimum avec une revue de protection de données et la sensibilisation des responsables de service. En pratique, je rencontre 2 à 3 fédérations départementales chaque semaine.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Le portail reste le point de communication privilégié entre les spécialistes de la protection des données dans notre structure"
Outre cette communication directe avec les entités qui m'impose de gérer un agenda sur deux ans, je sollicite tous les supports du réseau ADMR. Nous avons un magazine mensuel et une lettre hebdomadaire où je peux publier des informations lorsque cela est nécessaire. Notre démarche fait l'objet d'une information dans le rapport d'activité de l'assemblée générale nationale. Néanmoins, le portail reste le point de communication privilégié entre les spécialistes de la protection des données dans notre structure. Plus de la moitié des 164 relais y accèdent au moins un fois chaque quinzaine.
La spécificité de votre action tient essentiellement au grand nombre de relais Informatique & Liberté qui ont été mis en place au sein de l'ADMR...
"Quant à la future loi Informatique & Liberté 2, là encore je suis assez serein"
J'aurai terminé en décembre un tour de France entamé voici deux ans afin de sensibiliser les gouvernances au RGPD. Les revues de protection des données ont été consacrées quasi entièrement au règlement européen et à la préparation de son entrée en vigueur. Dans ce cadre, il y eu beaucoup d'échanges avec la Cnil ainsi qu'au sein de l'AFCDP (Association française des correspondants pour la protection des données, ndlr) dans laquelle j'anime un groupe relatif à l'accompagnement des relais Informatique & Liberté.
Quels sont vos principaux chantiers à venir ?
Les pratiques et outils mis en place à partir de 2012 étaient déjà fortement imprégnés de l'esprit du règlement général européen. J'ai eu la chance de beaucoup échanger avec la Cnil du fait de notre environnement assez particulier. En parallèle, j'ai collaboré à la création et révision des outils qualité nationaux qui ont été diffusés dans notre réseau dans le cadre de l'accompagnement qualité ADMR. J'attends les dernières validations de la Cnil sur l'interprétation du règlement afin de diffuser la mise à jour de notre livret d'accueil, des contrats, des procédures d'exercice des droits, etc. Mais de mon côté tout est presque prêt !
Quant à la future loi Informatique & Liberté 2, là encore je suis assez serein. J'ai suivi de très près l'élaboration de la loi de confiance dans l'économie numérique, la loi pour une République numérique d'Axelle Lemaire, le RGPD... De mon point de vue, la veille fait pleinement partie du travail du DPO.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 17 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
317 of 500 DOCUMENTS
LePoint.fr
Jeudi 16 Novembre 2017
Les États-Unis autorisent la commercialisation du premier médicament connecté
AUTEUR: Héloïse Pons
RUBRIQUE: SANTÉ
LONGUEUR: 503 mots
Avaler de la technologie pour son bien. C'est ce que propose Abilify MyCite, un médicament pour les personnes souffrant de troubles bipolaires et de schizophrénie. La - agence américaine du médicament - vient d'autoriser la commercialisation sur le territoire américain de cette pilule connectée, dont on ignore encore le prix.
Elle est le fruit d'une collaboration entre le laboratoire japonais Otsuka qui fabrique l'antipsychotique et l'entreprise californienne Proteus Digital Health, qui le transforme en médicament 2.0. Comment ça marche ? Un micro-capteur - fait de cuivre, de silicone et de magnésium - est intégré au médicament. Dès qu'il entre en contact avec des sucs gastriques, il envoie un signal électrique à un patch placé sur le corps, qui envoie lui-même la date et l'heure de la prise du médicament vers une application smartphone via un signal Bluetooth. Le sujet peut choisir jusqu'à cinq personnes à qui envoyer ces informations. « Pouvoir suivre l'ingestion de médicaments prescrits pour une maladie mentale peut être utile pour certains patients », affirme Mitchell Mathis, directeur de la division des produits psychiatriques au Centre d'évaluation et de recherche sur les médicaments de la FDA. Un outil de surveillance ?Si cette technologie permet une amélioration du suivi de patients et une aide au respect des prescriptions médicales, une partie du corps médical et de la justice s'inquiète du caractère intrusif et espion de cette pilule neuroleptique. « Évidemment, plusieurs problématiques éthiques se croisent », affirme Marguerite Brac de la Perrière, directrice du département santé numérique au cabinet d'avocats Alain Bensoussan, « on peut se demander s'il est acceptable qu'il y ait une telle ingérence dans l'observance d'un traitement ». Sachant en outre qu'un traitement mal pris occasionne des surcoûts majeurs aux assureurs, c'est une guerre entre libertés individuelles et impératifs collectifs qui s'engage. « La liberté individuelle prime en . Avec le règlement général sur la protection des données (RGPD) - applicable à compter du 25 mai 2018 dans tous les pays de l'UE - qui interdit formellement de communiquer les données d'un individu sans son consentement, on évite que le remboursement d'un traitement soit conditionné par la rigueur de sa prise en France », rassure l'avocate. « Sur des personnes malades, la question de la validité du consentement se pose, le sujet est-il vraiment en capacité de consentir ? » s'interroge-t-elle. Si la législation est stricte, la France a quand même son rôle à jouer en e-santé. BodyCap, basé à se positionnera dès 2018 sur le marché médical, principalement à destination de l'oncologie et de l'infectiologie. « Notre offre propose un dispositif ingérable qui récolte des informations physiologiques », explique Sébastien Moussay, président de la société, « il permet de remonter les données du patient jusqu'à l'hôpital ».
DATE-CHARGEMENT: 17 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Point
Tous droits réservés
318 of 500 DOCUMENTS
LExpress.fr
Jeudi 16 Novembre 2017
Sécurité, vie privée... Faut-il avoir peur des jouets connectés?
AUTEUR: Perrine Signoret
RUBRIQUE: HIGH TECH
LONGUEUR: 1063 mots
ENCART: Plusieurs jouets, poupées, robots ou peluches connectées, ont fait l'objet d'enquêtes. Celles-ci révèlent des failles de sécurité, et d'autres manquements.
Avec ses petites oreilles en plastique, son bec jaune, son antenne et ses poils moelleux, Furby Connect a tout l'air d'un jouet innocent. Pourtant, comme d'autres jouets connectés pour enfants, il a été mis en cause par une étude. Publiée mardi, celle-ci dévoile les failles de sécurité qu'ils contiennent. Et les risques que cela fait peser sur la vie privée et la sécurité des données personnelles.
Des pirates peuvent parler aux enfants via les jouets
L'étude a été réalisée par des experts en sécurité informatique, et deux groupes de défense des consommateurs: l'allemand Stifung Warentest et le britannique Which?. Elle a porté en particulier sur la technologie Bluetooth utilisée dans certains jouets connectés. Parmi ces derniers, le Furby Connect, donc, mais aussi le robot intelligent iQue, les peluches CloudPets et l'ours Toy-fi Teddy.
LIRE AUSSI >> Dessins animés trash sur Youtube: la plateforme renforce sa modération
Dans chacun de ces jouets, "la connexion Bluetooth n'est pas sécurisée", relève l'étude. Cela signifie concrètement que des hackers ont pu durant des tests accéder aux informations (nom, prénom, âge etc) contenues dans les objets sans avoir besoin "d'un mot de passe, d'un code PIN ou de toute autre forme d'authentification".
A ceci, s'ajoute le fait que "sans même avoir besoin d'une grande qualification", il est possible de prendre le contrôle des jouets et de transmettre via leur intermédiaire des messages vocaux aux enfants qui les possèdent.
Des failles déjà pointées du doigt depuis des mois
Ce n'est pas la première fois que la sécurité de ce type de jouets est remise en cause. En mars 2017, les peluches de la marque CloudPets avaient déjà fait l'objet de critiques après avoir été piratées.
LIRE AUSSI >> Piratage massif: de mignons ours en peluche connectés "espionnaient" des enfants
Un peu plus tôt, en décembre 2016, l'UFC-Que choisir avait aussi étudié le cas de la poupée Cayla et du robot iQue (tous deux produits par l'américain Genesis Toys). L'association de consommateurs remettait là encore en cause l'utilisation du Bluetooth "sujette à des risques de failles de sécurité élevées". Les conclusions étaient similaires à celles de la dernière étude, à savoir qu'une personne proche du jouet peut très bien s'en servir pour entendre ce qui se dit autour de lui, ou en prendre le contrôle pour communiquer au travers de la voix de la poupée ou du robot.
Mais ce n'est pas tout. L'UFC-Que choisir avait également expliqué que même sans être piratés, les jouets étaient problématiques. Ils seraient par exemple utilisés pour diffuser (ou plutôt "matraquer" selon les termes de l'association) des publicités ciblées. Des messages préprogrammés sortaient ainsi de la bouche de Cayla et iQue, vantant des produits Disney ou des dessins animés.
La protection des données personnelle "oubliée"
Quant à la protection des données personnelles, elle semblait avoir été tout simplement "oubliée" par les sociétés fabricantes. "Les conditions contractuelles autorisent [les fabricants], sans consentement express, à collecter les données vocales enregistrées par Cayla et iQue et ce, pour des raisons étrangères au strict fonctionnement du service, était-il expliqué." Ces données, qui désignent des fichiers audio et "transcriptions associées", "peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiées, [y compris] hors de l'Union européenne", là où les lois sur la protection de la vie privée ne sont pas toujours aussi protectrices qu'en France.
MyFriendCaylaLe transfert de données hors de l'Union européenne figure toujours dans les conditions d'utilisation de la poupée.I-QueMême chose sur le site du robot iQue.
"L'industrie prend ses responsabilités très au sérieux"
En effet, les lois française et européenne imposent aux fabricants des garde-fous. La loi informatique et libertés par exemple, indique qu'ils doivent prendre "toutes [les] précautions utiles (...) pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès."
LIRE AUSSI >> Cybercriminalité: l'attaque des objets connectés
Par ailleurs, il existe des règles quant aux transferts internationaux de données. Comme le rappelle la Commission Nationale de l'Informatique et des Libertés (Cnil), "en principe, [ceux effectués] hors du territoire de l'Union européenne sont interdits". Ils peuvent toutefois faire l'objet de dérogation, si "le pays ou le destinataire assure un niveau de protection suffisant", ou si la Cnil émet un avis favorable à ce propos.
Contactées, les sociétés fabricant les jouets mis en cause n'ont pas donné suite à nos sollicitations. Hasbro, qui commercialise le Furby Connect, a toutefois expliqué au Guardian que le respect de la vie privée des enfants était "une priorité". La British toy and hobby association, dont font partie Hasbro et Vivid, le constructeur du robot iQue, a elle souligné que "l'industrie prend ses responsabilités très au sérieux lorsqu'il s'agit de fabriquer des objets pour les enfants. Certains de nos membres sont très investis dans la sécurité des jouets, qu'il s'agisse de la sécurité ou de la protection des données."
Comment sécuriser l'utilisation d'un jouet connecté?
Pour l'heure, les fabricants n'ont malgré tout pas apporté beaucoup de changements à leurs objets mis en cause: les conditions d'utilisation de Cayla et iQue, par exemple, révèlent que les données sont toujours collectées et transférées à des "partenaires", et il n'existe toujours pas de procédé pour authentifier l'accès au Bluetooth avec ces jouets.
Certaines choses pourraient toutefois changer dans les prochains mois. La Cnil assure avoir été déjà saisie d'une plainte déposée par l'UFC-Que Choisir, sans donner plus de détail à son sujet. Par ailleurs, en mai 2018, un nouveau règlement baptisé RGPD devrait renforcer les garanties concernant les données personnelles.
LIRE AUSSI >> Peut-on montrer ses enfants sur les réseaux sociaux?
En attendant, il existe quelques solutions pour sécuriser l'utilisation de jouets connectés, comme le fait de ne pas trop communiquer d'informations, d'utiliser des pseudonymes au lieu du nom et prénom, d'éteindre le jouet dès qu'il n'est pas utilisé, de s'assurer de la possibilité de pouvoir supprimer ses données... et de les effacer dès lors que vous n'utilisez plus le service.
DATE-CHARGEMENT: 19 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Express - LExpress.fr
Tous droits réservés
319 of 500 DOCUMENTS
Stratégies
16 novembre 2017
Edition 1;
National Edition
« La data prend toute sa valeur »
AUTEUR: EMMANUEL GAVARD
RUBRIQUE: BUSINESS / CULTURE TECH; Pg. 24,25
LONGUEUR: 921 mots
PROGRAMMATIQUE Stratégies a réalisé avec Jean--Baptiste Rouet, le président de la commission digitale de l'Union des entreprises de conseil et d'achat média (Udecam), un poster sur les acteurs du marché de la publicité programmatique. Retour avec lui sur les enjeux de l'année.
Vous qui avez réalisé le poster program- matique 2017, quel regard portez--vous sur l'écosystÈme ? JEA-BAPTISTE ROUET. Ce qu'on peut dire, c'est que le program- matique devient une commo- dité. Les annonceurs ont beau- coup progressé, se sont équipés. Maintenant, l'enjeu consiste à exi- ger de la transparence. Savoir ce qu'on achÈte, la structure de coût, les détails... On cherche à deve- nir propriétaire de ses systÈmes, comme sur la data. La tendance générale consiste à tout faire pour devenir plus autonome face aux Gafa, à développer ses don- nées propriétaires. Les annon- ceurs réfléchissent donc à inter- naliser leur DMP, à soigner leur data, davantage que leurs achats programmatiques. Car si le pro- grammatique représente 80% des conversations, il ne concerne que 6% des dépenses médias... L'en- jeu véritable réside sur la donnée, pas sur l'achat. Ensuite, à propos du coût des espaces publicitaires, ils prennent de plus en plus de va- leur, mais l'inventaire continue de croître énormément. Donc les prix restent sensiblement les mêmes.
©Quels sont les changements au niveau des acteurs ? On retrouve les Gafa, toujours aussi présents, et les grands groupes de communication, qui ont leur trading desk. En dehors de quelques rebrandings, il n'y a pas eu beaucoup de changements. C'est au niveau de certaines DSP que ça a évolué. Plusieurs opé- raient comme des ad networks (en mode DSP Managed Services): elles achetaient des espaces et vendaient des campagnes « tout compris». Mais face à la forte de- mande de transparence par les annonceurs, elles ont changé de modÈle et proposent leur technolo- gie en self--service directement au- prÈs des trading desks. C'est--dire qu'elles deviennent concurrentes des grandes DSP du marché (DBM, App Nexus, The Trade Desk...).
Et c'est une activité qui marche ? Le marché du programmatique fonctionne de plus en plus en cam- pagnes multi--DSP. C'est--dire qu'il faut travailler sur DBM de Google pour acheter des espaces YouTube, sur la DSP d'Amazon pour cibler la data Amazon sur l'ensemble des inventaires, idem pour Face- book, Snapchat, etc. Il faut donc se connecter à de nombreux systÈmes pour faire une campagne. Ainsi, le recours à la DSP Managed Services diminue et ce sont les tra- ding desks, qui eux, connectés à tous les écosystÈmes, sont les plus sollicités. Avec la baisse de leurs volumes d'achat mais une tech- nologie propriétaire, les DSP Ma- naged Services sont devenues des cibles pour les investisseurs et se sont fait racheter pour certaines. C'est le cas de Rocket Fuel, Radium One... Quantcast continuant à res- ter indépendant pour le moment.
Cette multiplication des écosystÈmes a d'autres impacts ? Oui! Il faut être bon partout et maî- triser chaque systÈme. Les équipes doivent manipuler toutes les DSP, avec une certaine excellence. Donc les coûts en talents deviennent vraiment non négligeables! Il faut ajouter le fait de négocier les par- tenariats, les deals datas, les algo- rithmes personnalisés... de gérer GLOSSAIRE DSP : Demand Side Platform, plateforme permettant aux agences et aux trading desks d'optimiser les achats d'espaces. TRADING DESK: structure qui prend en charge l'achat de l'espace publicitaire sur internet. AD NETWORK: réseau publicitaire constitué d'un ensemble de sites regroupés, qui forme une offre publicitaire digitale diverse.
correctement le rÈglement euro- péen sur les données qui arrive (RGPD), l'ePrivacy... Qu'est--ce qui fait la différence donc ? Le nerf de la guerre reste la data. C'est l'accÈs à la donnée qui crée les écosystÈmes sur lesquels on va se connecter. Selon moi, on est dans l'année où la data prend toute sa valeur. Elle pourrait devenir plus chÈre que l'inventaire! On se base de moins en moins sur des données comportementales, mais de plus en plus orientées sur l'individu et ses terminaux avec de la donnée lo- guée. La third party data ne pro- gresse que trÈs peu, on l'utilise dif- féremment. Les éditeurs l'ont bien compris: si tous leurs inventaires sont disponibles en programma- tique, ils attirent autrement les annonceurs avec de la data à forte valeur ajoutée face aux géants américains. Mais prise toute seule, la donnée déterministe d'un édi- teur est assez restreinte. Tandis qu'à plusieurs, ils vont beaucoup plus loin, donc ils s'allient.
Sur les formats, on parle beaucoup de la vidéo aussi ? Oui, la vidéo tire le marché de ma- niÈre incroyable. Les gens pré- fÈrent lire des vidéos que de lire des articles. Donc ça se développe. Mais un inventaire vidéo reste cher: il y a un rapport de 1 à 5 ou 10 avec ce que ça rapporte à un éditeur! En revanche, elle reste trÈs adaptée au branding, dans lequel les marques ont toujours mis plus d'argent. Le marketing à la performance sa- ture vite, car le réservoir de clients atteint un maximum. À partir d'un palier, vous ne gagnerez pas plus de clients avec plus d'argent in- vesti, tandis que le branding aura toujours un intérêt. Et sur ce su- jet, l'efficacité d'une vidéo reste- ra toujours meilleure qu'une ban- niÈre. À condition que le contenu s'améliore... Déjà, on voit moins de pre--rolls de 30 secondes. Et 20 se- condes, c'est encore énorme! Mais quelle que soit la durée, l'attention est toujours bien plus forte sur une vidéo que sur du display. ?
DATE-CHARGEMENT: November 16, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: © William Parra pour Stratégies
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
320 of 500 DOCUMENTS
Décideurs Magazine Online
mercredi 15 novembre 2017
Bertrand Diard (Influans) : « Notre volonté est d'avoir, dès maintenant, un rayonnement global »
LONGUEUR: 1359 mots
ENCART: Fondateur de Talend, Bertrand Diard connaît la recette pour partir d'une feuille blanche et introduire, une dizaine d'années plus tard, une société florissante au Nasdaq. Avec sa nouvelle entreprise, Influans, il espère connaître un plus grand succès encore. En ayant levé six millions d'euros en phase d'amorçage, cet entrepreneur affiche ses ambitions pour optimiser le marketing personnalisé.
Décideurs. Le marketing personnalisé est au coeur de la promesse qu'Influans formule auprès de ses clients. Quelles opérations commerciales sont ici concernées ?
Bertrand Diard. L'univers du martech, c'est-à-dire des nouvelles technologies appliquées au marketing, est composé de deux grandes familles. Il y a d'abord l'advertising, où l'on retrouve la publicité digitale et les acteurs spécialisés comme Google Adwords ou Criteo. Cet univers, nous n'y intervenons pas. Il y a ensuite le marketing relationnel s'articulant entre la marque, le client final et l'offre. Les canaux traditionnels utilisés ici sont l'e-mailing, les coupons, les sms de promotion ou encore les catalogues envoyés dans les boîtes aux lettres. Le marketing direct et opérationnel, ce marché à cent milliards de dollars à travers le monde, c'est là notre terrain de jeu. La personnalisation que nous prônons n'est donc pas la même que celle d'un expert du retargeting à la Criteo.
Quel regard posez-vous sur les méthodes « traditionnelles » du marketing et leurs résultats ?
Dans les entreprises, le marketing est l'un des seuls départements avec des niveaux de performance inacceptables. Seuls 1,7 % des e-mails envoyés donnent lieu à une opération commerciale. Ce chiffre grimpe à 3 % pour les coupons. Toutes les marques disposent pourtant des informations nécessaires pour arrêter de « spammer » (NDLR : envoyer des e-mails indésirables) leurs clientèles. Sur cent e-mails reçus, seuls deux seraient susceptibles d'intéresser le prospect ou le client ? Ce ratio n'est plus acceptable avec la montagne de données que nous accumulons sur les goûts et les attentes de chacun. Ce qui manque à ces marques, c'est une visibilité normalisée sur les informations qu'elles détiennent déjà. Les bases de données hétérogènes qu'elles utilisent ne leur permettent pas d'avoir une vue unifiée de leurs clients. On se retrouve alors dans un schéma de mass marketingoù une offre, supposée être séduisante, est envoyée à tous les clients, sans distinction de leurs besoins exprimés ou de leurs caractéristiques habituelles d'achat. Nous voulons lutter contre ça.
« Le marketing opérationnel représente un marché de cent milliards de dollars à travers le monde »
Quels sont les mauvais exemples à éviter ?
Être harcelé pour rien, il n'y a rien de plus agaçant pour un client final. Aux États-Unis, Groupon peut envoyer des e-mails contenant à la fois des offres de saut en parachute et des déambulateurs. Cela fait sourire mais c'est encore le quotidien de beaucoup d'internautes de recevoir de telles offres ! Les grandes marques doivent savoir quel est le centre d'intérêt de leur cible, si possible à un instant T. C'est ainsi qu'elles pourront sélectionner l'offre capable d'orienter le client vers l'acte d'achat désiré.
Quels sont les avantages offerts par votre produit ?
Nous avons été les pionniers dans l'intégration de données et le big data avec Talend. L'objectif est à présent de rassembler les données pertinentes pour ensuite faire tourner de l'intelligence artificielle et du machine learning. Les algorithmes déterminent alors une offre unique, fondée sur des critères qualifiés. Nous n'avons jamais d'offres similaires pour deux clients différents. Le plan d'action que nous soumettons à nos clients rassemble un canal de diffusion, un produit et un incentive spécifiques aux attentes identifées.
« Le marketing opérationnel représente un marché de cent milliards de dollars à travers le monde »
Avec quelles données ciblez-vous les internautes ?
Les données personnelles d'un individu n'ont aucun intérêt pour nous. Notre attention se concentre sur l'ensemble des data points qui gravitent autour des individus pour leur apporter l'offre qu'il leur faut. Qu'importe si la cible s'appelle Pierre, Paul ou Jacques. Le RGPD nous affecte peu puisque l'algorithme ne prend en considération que des nuages de points apparaissant sous forme de graphique. Afin d'affirmer notre position en la matière, nous procédons même à du data masking pour dissimuler toutes les informations personnelles qui peuvent l'être. L'anonymisation n'empêche pas la personnalisation. Notre travail consiste à créer les meilleures corrélations possibles entre les données, sans chercher à qui elles sont reliées.
Comment collectez-vous ces données ? La directive e-privacy sur l'utilisation des cookies peut-elle vous porter préjudice ?
Les cookies ne sont qu'une source de données parmi d'autres, et ils ne sont pas centraux à notre activité. Les données qui nous intéressent le plus, ce sont celles des entreprises : logiciels de relation client, catalogue de produits, informations issues des réseaux sociaux... On peut aussi faire intervenir des données publiques de l'open data, comme la météo par exemple. S'il fait beau, inutile de mettre en avant des vêtements imperméables et chauds... La vision à 360° d'un individu à travers ces données variées est aujourd'hui possible, et ce, malgré les silos apparents entre les sources disponibles. Ce travail n'entrave en rien notre intransigeance en matière de respect de la vie privée. Pour comprendre cela, il faut aussi savoir que nos clients s'adressent à des dizaines de millions de clients et prospects.
Votre modèle commercial est fondé sur une rémunération liée à l'apport de nouvelles affaires à vos clients. Comment cela peut-il fonctionner ?
C'est une nouveauté sur le marché. D'ordinaire, les solutions technologiques se rémunèrent à l'abonnement, à la licence ou au clic. Cela signifie, dans ce dernier cas, que même si l'offre proposée au client final est mauvaise et qu'elle n'aboutit pas à une transaction, le prestataire se satisfait que l'internaute ait cliqué sur le bandeau publicitaire. Avec Influans, nous ne voulons pas de promotions contre-productives qui représentent autant d'investissements inutiles pour les marques. Nous cherchons à diffuser la meilleure offre pour le consommateur comme pour le distributeur. Ainsi, nous ne nous rémunérons que sur la transaction réalisée grâce à notre offre. Un tel modèle ne pouvait exister auparavant. D'une part, la notion de mass marketing empêchait de viser l'hyper contextualisation comme nous le faisons et la rémunération précise qui en découle. Les progrès technologiques ont, d'autre part, été décisifs pour atteindre le niveau de sophistication de nos algorithmes.
« Le marketing opérationnel représente un marché de cent milliards de dollars à travers le monde »
Vous avez levé mi-septembre la somme impressionnante de 6 millions d'euros en phase d'amorçage. Quels sont vos chantiers prioritaires pour tirer le meilleur de ces nouveaux moyens financiers ?
L'objectif est de continuer de travailler sur le produit. Nous voulons continuer d'améliorer nos solutions pour atteindre de très hauts niveaux de satisfaction. Dans ma précédente vie chez Talend, nous avions investi pendant trois ans sur la technologie, après deux levées de fonds de quatre millions d'euros. C'était assez inhabituel mais le succès rencontré nous pousse à suivre la même voie aujourd'hui. Consolider la brique technologique est décisif avant de se développer commercialement. Nous démarrons naturellement en France avec le marché du retail. Toutefois, notre volonté est d'avoir, dès maintenant, un rayonnement global et de faire quelque chose de plus gros que Talend. Cela explique pourquoi nos premiers beta customerssont américains.
Quand devrait avoir lieu le prochain tour de table ?
Nous avons douze mois devant nous pour valider notre première étape autour de l'optimisation de la performance du produit et des premiers retours d'expérience. Une levée de série A devrait suivre, avec pour objectif d'accélérer notre développement. Je n'ai pas de montant en tête mais après avoir levé six millions en amorçage, on ne lèvera certainement pas trois millions à l'étape suivante. Il faudra surtout réfléchir en matière de besoins pour donner à l'entreprise la configuration qui la tirera vers le haut. Depuis 2013, 93 % des sociétés introduites au Nasdaq ont levé plus de 100 millions d'euros. Pour disrupter un grand marché, il nous faudra de grandes capacités d'investissements.
Propos recueillis par Thomas Bastin
DATE-CHARGEMENT: 29 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Leader's League
tous droits réservés
321 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 15 Novembre 2017
"Le RGPD impose une vraie évolution de notre métier"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Industrie
LONGUEUR: 1252 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la DPO de New Areva analyse les conséquences du RGPD chez le spécialiste de l'énergie nucléaire.
JDN. Quel est votre parcours ? Quels sont votre rôle et votre place dans l'organisation ? Pourquoi avoir choisi de devenir DPO ? Hélène Legras est la DPO de New Areva © New areva
Hélène Legras (New Areva). Je suis juriste de formation. Je suis entrée chez Framatome en 1991 (devenu Areva en 2001) pour m'occuper des sujets liés à la protection des données personnelles, et donc des questions relatives à la loi Informatique et Libertés de 1978 puis à la directive européenne de 1995. En mars 2007, je suis devenue correspondante informatique et libertés (CIL), une fonction mutualisée au niveau du groupe. Le 25 mai 2017, j'ai naturellement été désignée data protection officer (DPO) du groupe New Areva. Je suis directement rattachée au directeur juridique du groupe.
Nous n'avions pas d'obligation à nommer un DPO au titre du Règlement général de protection des données à caractère personnel (RGPD) mais le G29 recommande de le faire. Et c'est, pour la Cnil, la première étape dans la mise en place du RGPD. Nous avons considéré que nommer un DPO nous conformait à ces deux vues tout en s'inscrivant dans la suite logique de l'histoire de nos relations avec la Cnil. Cette décision confirme, en outre, notre attachement à la protection des données personnelles.
Ce qui change avec le Règlement, c'est que nous ne sommes plus dans un système déclaratif, où il suffisait de tenir un registre et de faire un bilan annuel, mais dans un système de conformité qui impose de mettre en place une organisation appropriée et transversale. C'est pourquoi les missions du CIL et du DPO sont différentes. Mon rôle de DPO consiste donc à installer et à piloter l'organisation qui va assurer la conformité du Groupe. Cela étant, comme nous appliquons la loi de 1978 et la directive de 1995, une partie du chemin a déjà été parcourue.
Concrètement, je coordonne un réseau de correspondants internes présents dans les différentes directions de l'entreprise : la DSI, qui traite les données, la DRH, qui les collecte, et aussi, les archivistes, la communication, l'audit et les assurances. J'apprécie ce travail en réseau. En parallèle, j'anime un réseau de DPO d'autres entreprises dans le cadre de l'Association des DPO (ADPO) dont je suis la vice-présidente.
Quels sont les principaux enjeux liés à la donnée personnelle chez New Areva et à vos actions ?
"Ce réseau de correspondants est essentiel car les analyses d'impact se mènent en collaboration étroite avec nos responsables métier et la DSI"
New Areva est un groupe qui évolue dans le BtoB. Les données dont nous parlons sont donc surtout des données d'employés, soit celles d'environ 20 000 salariés répartis dans quatre continents. Nous devons assurer le respect de leurs données au titre du Règlement, c'est-à-dire les informer de leurs droits sur leurs données, mettre en place les procédures qui vont leur permettre d'y accéder et de les rectifier, systématiser les demandes d'autorisation de publication de photos, etc. En complément, nous devons localement appliquer les réglementations propres au pays. En France, par exemple, la loi Lemaire nous oblige à inscrire les durées de conservation dans les mentions légales. En Allemagne, où la désignation d'un DPO était obligatoire même avant la publication du RGPD, d'autres spécificités locales s'appliquent.
Quelles actions concrètes avez-vous menées depuis votre nomination ?
J'ai commencé par former et sensibiliser le management et les opérationnels dès avril 2016, date à laquelle le Règlement est devenu applicable. Il était important que tout le monde sache ce qu'il fallait faire et respecter. J'ai aussi formé les directions juridiques des filiales hors d'Europe, comme les Etats-Unis, afin qu'elles répercutent le Règlement dans le fonctionnement de leurs filiales, en cas de traitement de données des salariés européens.
Le 25 mai 2017, un an exactement avant la date butoir de la mise en conformité, j'ai informé la Cnil de ma nomination. Cela, à nouveau, pour afficher notre volonté et montrer qu'un pilote se tenait prêt à lancer la démarche de mise en conformité.
Mon réseau de correspondants était jusque-là essentiellement constitué d'opérationnels au sein de la DSI et de la DRH. Je l'ai étendu à d'autres directions : la Communication et les Archivistes, qui sont amenés à manipuler des données, l'Audit, car le RGPD prévoit de faire des audits de conformité, et les Assurances, qui nous accompagnent dans les procédures d'analyse d'impact et de risques. Ce réseau de correspondants est essentiel car les analyses d'impact se mènent en collaboration étroite avec nos responsables métier et la DSI, ainsi qu'avec les Assurances qui participent aux analyses des risques.
Enfin, nous procédons progressivement aux différentes actions de mise en conformité, comme l'ajout dans le registre de traitements des informations prévues par l'article 30 du Règlement.
Comment communiquez-vous en interne, au-delà du cercle des DPO, pour sensibiliser et informer sur votre action ?
Comme évoqué, j'organise des réunions de présentation. Je privilégie les rencontres physiques car elles ont plus d'impact. Au-delà, j'ai aussi publié sur l'intranet de la direction juridique des articles de presse et une série de fiches pédagogiques sur les différentes notions qui composent le sujet : qu'est-ce qu'une donnée à caractère personnel, qu'est-ce que la Cnil, qu'est-ce qu'un CIL, etc.
Vous êtes vice-présidente et cofondatrice de l'Association des DPO ? Pourquoi cette association ? Quelle importance accordez-vous à ce rôle ?
"Il reste aussi à déployer, en coordination avec la DSI, les procédures de notification des violations de données à caractère personnelles"
Nous avons créé l'ADPO en janvier 2016 avec l'avocat Alain Bensoussan parce qu'il nous semblait important d'aider les CIL des grandes entreprises française à devenir des DPO. Comme je le disais, le RGPD impose une vraie évolution de notre fonction. Et les enjeux sont élevés. L'association est un lieu où nous pouvons partager nos expériences et nos pratiques.
Nous venons d'ailleurs de publier un ouvrage collectif sous le titre "Le Data Protection Officer, une nouvelle fonction dans l'entreprise" (éditions Bruylant, Groupe Larcier, août 2017), destiné à aider les DPO à accomplir leurs missions.
Aujourd'hui, plus de 70 grands groupes français adhèrent à l'Association. Cela nous permet aussi de porter une voix unique auprès de la Cnil. Nous échangeons régulièrement avec ses représentants pour leur faire part des difficultés que nous rencontrons ou leur présenter nos outils de travail. La Commission a d'ailleurs manifesté un grand intérêt à l'égard de notre démarche car elle a besoin du retour des entreprises sur l'applicabilité des règlements. La prochaine réunion de l'ADPO sera le 25 mai 2018 et nous y inviterons la Cnil.
Quels sont vos chantiers à venir ?
Nous devons mettre à jour nos procédures : mentionner la nouvelle réglementation, informer les collaborateurs de leurs droits, intégrer les nouvelles notions et les évolutions par rapport aux lois précédentes, pour le droit d'accès par exemple. Il reste aussi à déployer, en coordination avec la DSI, les procédures de notification des violations de données à caractère personnelles. Et bien sûr, à actualiser en permanence le registre en fonction de l'évolution du groupe.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 15 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
322 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 13 Novembre 2017
"Les chercheurs sont acteurs de la démarche de protection des données personnelles"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Santé
LONGUEUR: 1221 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, le DPO du Centre hospitalier régional universitaire de Lille dresse la liste de ses chantiers.
JDN. Rappelez-nous votre fonction, votre parcours et le rôle que vous jouez au sein du Centre hospitalier régional universitaire (CHRU) de Lille. Guillaume Deraedt est le DPO du CHRU de Lille. © CHRU Lille
Guillaume Deraedt (CHRU Lille). Historiquement, je suis un responsable de la sécurité des systèmes d'information (RSSI) devenu également correspondant Informatique et Libertés (CIL) dès 2006 car le CHRU a très tôt développé une forte sensibilité à la question de la confidentialité des données du patient. Ma fonction de CIL a évolué vers celle de data protection officer (DPO) début 2017 pour préparer la mise en conformité au Règlement général pour la protection des données (RGPD).
Je porte la double casquette RSSI/DPO car nous lions intimement la notion de confidentialité des données du patient à celle de sûreté du système d'information. La donnée personnelle du patient est sensible. Elle contient des informations médicales. Sa préservation conditionne autant les aspects de confidentialité que la qualité des soins prodigués.
Fonctionnellement, je dépends de la direction générale. Mais je travaille en étroite collaboration avec le département des ressources numériques. Mon rôle est de faire le lien entre les professionnels de santé, qui ont des impératifs métiers mais que je dois sensibiliser aux questions de protection des données, et les équipes en charge des ressources numériques, qui vont mettre en place des solutions de sécurité à la fois acceptables du point de vue du risque patient, raisonnables sur le plan économique et souples face aux impératifs métier.
Quels sont les principaux enjeux de votre action au sein du CHR ?
Je suis le garant d'une organisation qui assure confidentialité des données et sûreté du SI. Mes actions se mesurent à l'aune de quatre enjeux : la disponibilité du SI, pour assurer la prise en charge rapide des patients ; l'intégrité des données, qui doit être totale pour une qualité des soins maximale ; les éléments de preuve, en cas de litige et, enfin, la confidentialité des données patients. Celle-ci doit être garantie dans les conditions usuelles de prise en charge comme dans les conditions particulières telles que le dispositif "bris de glace" (dispositif d'urgence selon lequel toute équipe soignante peut accéder aux données du patient pour assurer les soins nécessaires, ndlr).
Quelles sont les implications du règlement pour votre organisation ?
Le règlement n'affecte pas réellement nos méthodes et nos pratiques actuelles sur le périmètre régalien de l'établissement, à savoir la gestion de la prise en charge du patient. Nos procédures d'analyse de risques, d'accès à l'information et de traçabilité répondent aux nouvelles exigences. Je travaille à cet effet avec la commission de la confidentialité des informations médicales, l'instance dédiée au sein du CHRU, à laquelle j'apporte mon expertise de DPO.
En revanche, le règlement nous amène à intégrer dans notre champ d'action un ensemble d'outils informatiques périphériques au SI régalien, utilisés par les maisons de recherche clinique et par les sur-spécialistes. Ces praticiens manipulent en effet des données médicales de patients pour leurs besoins de recherche, hors du cadre de prise en charge. Leurs outils sont donc concernés par le Règlement.
Quelles actions concrètes avez-vous menées et quelles mesures avez-vous prises pour intégrer ces outils dans le processus de conformité ?
"Nous avons développé un site intranet dédié à la protection des données personnelles"
Notre approche a été de rendre ces chercheurs acteurs de la démarche de protection des données à caractère personnel. Début 2017, nous avons co-construit avec eux une boîte à outils de procédures, de méthodes et de solutions techniques leur permettant de s'impliquer réellement dans la sécurisation des données. Notre démarche a nécessité beaucoup de pédagogie et un important travail de sensibilisation à l'impact, sur le patient en tant que citoyen, d'une divulgation éventuelle de ses données personnelles.
Aujourd'hui, les assistants de recherche clinique sont formés à l'utilisation de cette boîte à outils. Concrètement, il s'agit pour eux de renseigner des formulaires sur l'utilisation des données dans le cadre d'un projet - leur nature, la durée de conservation, les partages éventuels avec des tiers, le niveau d'anonymisation nécessaire, etc. - et sur le niveau de sécurité des outils informatiques qui seront utilisés. De notre côté, nous procédons à l'analyse des résultats, avec les juristes et les équipes IT. Nous restituons les conclusions de l'étude aux équipes concernées. Et nous établissons ensemble les mesures éventuelles à prendre et les réponses techniques à apporter (chiffrement, pseudo-anonymisation, etc.) pour réduire le risque et maintenir la conformité au Règlement. Les promoteurs de recherche sont ensuite tenus de s'engager officiellement sur le respect de la méthodologie et de la mise en ½uvre des mesures décidées. Aujourd'hui, nous comptons plus de 1 750 traitements de données à caractère personnel au registre. Il arrive une vingtaine de nouvelles déclarations par semaine.
Un comité CNIL mensuel qui réunit les assistants de recherche clinique, des médecins, des juristes et des soignants nous permet de faire évoluer la boîte à outils en fonction des besoins et d'instruire les points particuliers qui nécessitent une expertise de la part de la CNIL. En parallèle, nous mettons à jour l'ensemble des supports d'information à destination du patient sur l'utilisation que nous pouvons faire de ses données et sur ses droits par rapport à cela : affiches, livret d'accueil des patients, etc.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
Notre travail de communication en interne est facilité par la sensibilité de notre direction générale au sujet. Elle est convaincue de l'importance de la sûreté de la confidentialité pour l'image de marque du centre. Elle a conscience de la nécessité d'une gouvernance efficace.
Nous avons développé un site intranet dédié à la protection des données personnelles. Les collaborateurs, IT et utilisateurs, y trouvent des memos pratiques. Nous proposons aussi des modules d'e-learning de sensibilisation et de présentation des bonnes pratiques à travers des mises en situation concrètes. Enfin, nous participons à notre événement annuel : la Semaine de la Sécurité du Patient. Historiquement dédiées à la sécurité de la prise en charge du patient, ces journées comportent désormais un volet consacré à la confidentialité des données.
Quels chantiers sont à venir ?
Nous travaillons, à l'échelle du groupement hospitalier de territoire Lille métropole-Flandres intérieur, qui regroupe dix hôpitaux en plus du CHRU de Lille, à la définition d'un niveau d'exigence sur la sûreté de la confidentialité des données, commun et partagé par tous les hôpitaux du groupement. Là encore, il s'agit d'un travail de concertation et de co-construction que je mène avec les DSI du groupement. Une approche clé pour s'assurer de l'implication des acteurs aux dimensions, historiques et sensibilités pluriels.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 17 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
323 of 500 DOCUMENTS
L'AGEFI Actifs
novembre 10 2017
Réforme en continu de la distribution;
Devoir de conseil en assurance vie
AUTEUR: Nicolas Ducros
RUBRIQUE: ENQUÊTE; Pg.8
LONGUEUR: 3596 words
En quoi la directive sur la distribution d'assurance (DDA), dont l'entrée en application est fixée en 2018, va-t-elle modifier les habitudes des conseillers ? La question interpelle les responsables de réseaux commerciaux. La raison : une formalisation toujours plus imposante des rapports entre les compagnies d'assurances et leurs distributeurs, mais aussi entre les conseillers et leurs clients. Ce texte (1), qui abroge la directive sur l'intermédiation en assurance (DIA) de 2002, a pour particularité de couvrir la totalité des canaux de distribution en assurance et en réassurance. Il a été élaboré sur le modèle de la directive MIF 2, qui entre en application en début d'année 2018. A une différence près, le Parlement européen a entériné le report de son application du 23 février au 1er octobre 2018 (lire l'encadré p.10).Rétablir la confiance dans le conseil.
Ces normes portent en commun la volonté de rétablir « la confiance dans les marchés de capitaux ». Ce qui n'est pas rien, puisque s'il devait en aller autrement, un observateur considère que des économies « très dépendantes des marchés financiers pour leur développement » viendraient à s'effondrer (2). Sur cette base, les obligations prévues par ces textes, et qui sont à la charge des intermédiaires, apparaissent clairement fondées. En effet, la production d'une masse significative de documents tend à prouver le respect des dispositions légales, mais aussi que les éventuelles pertes subies par le client ne trouvent pas leur origine dans le conseil qui lui a été prodigué.Un travail de fond nécessaire pour certains. Sauf qu'une fois le principe posé à l'échelle européenne, il revient aux Etats membres de s'assurer de sa mise en oeuvre efficiente. Une étape qui est particulièrement scrutée, et à raison semble-t-il : comme le souligne Henri Debruyne, qui préside l'Observatoire européen de la distribution de l'assurance (Medi), « la démarche imposée par la directive prédispose de partir du client et de ses besoins. Elle est diamétralement opposée à la pratique d'argumenter à partir d'un produit présupposé satisfaire à des besoins globaux » (lire l'encadré p.11). Soit un fossé culturel à combler, à en juger les réactions de responsables de certaines compagnies d'assurances et de mutuelles à pied d'oeuvre pour se mettre à jour de la nouvelle règlementation.Différence de traitement. Selon Carole Riaux, manager risk management chez Optimind Winter, « des différences existent entre les mutuelles et les assureurs sur leur positionnement à l'égard du devoir de conseil. Parmi les mutuelles, celles qui distribuent des contrats d'assurance vie depuis un certain temps se sont familiarisées avec cette obligation. En revanche, d'autres acteurs historiques qui sont davantage positionnés sur des produits non vie, de retraite complémentaire ou de prévoyance ont moins de maturité en matière de devoir de conseil au regard des impératifs liés à la formalisation ou à la traçabilité. Cela peut s'expliquer par le fait que le Code de la mutualité n'évoque que très peu le devoir de conseil. Sur ce point, la DDA enrichit la règlementation au profit de tous les distributeurs ».Une loi en 2005, une ordonnance en 2009 et l'intervention du régulateur en 2013. S'il est vrai que la DDA nécessite d'être assimilée par les concepteurs et les distributeurs d'assurance vie, force est de reconnaître que ce texte s'inscrit dans la continuité des changements règlementaires français. Il ne s'agit pas d'une nouveauté dès lors que depuis dix ans, ces modifications ont poursuivi un objectif analogue à celui fixé par l'Europe, à savoir sanctuariser la protection du consommateur (lire l'encadré p.12). Par exemple, les règles de commercialisation des produits financiers et de l'assurance vie ont fait l'objet d'une harmonisation par voie d'ordonnance en 2009. L'objectif recherché par le texte fondateur, à savoir la loi de modernisation de l'économie (LME) du 5 août 2008, a consisté à aligner le devoir de conseil des salariés des compagnies d'assurance et des mutuelles sur celui des prestataires de services d'investissement (PSI).Conflits d'intérêts et transparence. « Si on regarde ce que sont les attentes du régulateur en matière de devoir de conseil depuis sa recommandation de 2013, on est en droit de relativiser l'apport de la DDA, confirme l'avocate Céline Lemoux, associée au sein du cabinet 28 octobre société d'avocats. Ce qui n'est pas le cas de l'initiative européenne en matière de gestion des conflits d'intérêt et de transparence des rémunérations. L'une conduit certaines compagnies à attendre une prise de position de la part de l'Autorité de contrôle et de résolution (ACPR) pour savoir comment vont être traitées les situations des groupes qui détiennent une participation dans une société de gestion. Quant à l'autre, certains ne cachent pas leur intention de profiter de la remise à plat qu'implique l'obligation de transparence pour imposer de nouvelles modalités de rémunération. »Le droit avant la transposition de DDA. En l'état actuel, l'article L.132-27-1 du Code des assurances impose une obligation de conseil à la charge de l'entreprise d'assurance à l'égard du souscripteur d'un contrat de capitalisation ou d'un contrat d'assurance vie comportant une valeur de rachat ou de transfert. Si le contrat est distribué par l'intermédiaire d'assurance, c'est lui qui assume l'obligation de conseil. En pratique, avant la conclusion du contrat, les exigences et les besoins exprimés par le souscripteur ainsi que les raisons qui motivent le conseil fourni sont précisées. Il revient à l'épargnant de transmettre des données sur sa situation financière et ses objectifs de souscription. Leur degré de précision dépend de la complexité du contrat proposé. Sur ce principe, le conseiller doit aussi faire le point sur les connaissances et l'expérience financière de son client. Ce type de précisions est communiqué au souscripteur par écrit, avec « clarté et exactitude », indique la règlementation. Pour mémoire, les intermédiaires d'assurance ont été soumis à ces règles depuis 2005.Quel retour terrain ? Arieh Brunschwig, manager de Marker Management Consulting, relève qu'à la différence de la DDA, le droit français « ne distingue pas spécifiquement entre la commercialisation de produits d'assurance vie ou de capitalisation avec ou sans conseil préalable ». La commercialisation d'un produit d'assurance implique ainsi au sens du régulateur et de la jurisprudence un devoir de conseil « non seulement lors de la conclusion du contrat mais également tout au long de son exécution ». A ce propos, Arieh Brunschwig signale que « les professionnels que nous accompagnons rencontrent certaines difficultés à appréhender la nature et l'étendue de ce devoir de conseil dans le cadre de la réglementation en vigueur ». A ce titre, l'appréciation du niveau de risque des portefeuilles au regard du profil de risque du client peut poser des difficultés. Sont également visées la possibilité de suivre les opérations en cours de vie du contrat qui ne sont pas directement recommandées par le professionnel, mais aussi la personnalisation de la motivation du conseil fourni.Une étape supplémentaire dans la formalisation. La directive sur la distribution d'assurance, ou plutôt sa transposition dans l'ordre juridique interne, apportera-t-elle des indications en la matière ? Rien n'est moins sûr. Le texte DDA doit plutôt être envisagé comme un texte de référence qui témoigne d'une étape supplémentaire dans la matérialisation du devoir de conseil en assurance vie. Et ce même si le législateur français a devancé de quelques années les attentes de son homologue européen. A une différence notable cependant, la norme européenne est allée beaucoup plus loin dans la formalisation des relations entre les concepteurs et les distributeurs de produits. Elle traite de gouvernance produit et de la nécessité de destiner un support particulier à un marché cible clairement identifié (L'Agefi Actifs, n°695, p.8). D'ailleurs, pour être apprécié à sa juste valeur, ce texte doit être analysé à la lumière du règlement Priip, qui prévoit, sur le papier, de porter à un niveau supérieur l'information délivrée aux prospects et aux épargnants.Des tests différents. Selon le vocable consacré à l'échelle européenne, en ce qui concerne la commercialisation des produits d'investissement fondés sur l'assurance, la DDA entérine, dans son article 30, trois régimes de vente possibles. Une nouvelle fois, les puristes regretteront une approche européenne réductrice, se focalisant sur les aspects financiers et non patrimoniaux de l'assurance vie (L'Agefi Actifs, n°369, p.6). En effet, ce texte prévoit la vente sur la base du « test de cohérence » du produit avec les besoins et les exigences exprimés par le client. Cette vente est réservée aux produits non complexes et lorsque le client le demande. Précision d'importance, « cette modalité ne sera pas, a priori, retenue par la France », indique-t-on du côté de la Fédération française de l'assurance (FFA).Test de caractère approprié. Un autre type de vente est basé sur un « test du caractère approprié » qui, en plus du test de cohérence, implique de vérifier les connaissances et l'expérience du client dans le domaine d'investissement dont relève le type spécifique de produit. En effet, il est question pour le distributeur de s'assurer de la capacité de son client à comprendre les risques liés au produit. A nouveau, la FFA signale que « cette modalité de vente qui constitue le régime obligatoire de la directive pour toutes les ventes autres » que celles qui nécessitent seulement un test de cohérence « ne devrait pas non plus être retenue en France ».Test d'adéquation. Enfin le dernier mode correspond à la faculté de vente avec conseil à la demande du client ou à l'initiative du distributeur. Elle repose sur un test d'adéquation basé entre autres sur la situation financière et les objectifs du client qui s'ajoute aux deux tests précédents. Pour la FFA, « c'est cette modalité de vente, optionnelle dans la directive, que la France devrait retenir pour le devoir de conseil. En effet, les éléments constituant le test d'adéquation correspondent à ceux déjà prévus dans la définition actuelle du devoir de conseil en assurance vie avec, comme seule différence, l'attention particulière que le distributeur devra désormais attacher à la capacité du souscripteur à subir des pertes et sa tolérance au risque ».Les actes délégués. Le détail technique du test d'adéquation est fourni par le biais d'un des deux actes délégués que la Commission européenne a publié sous la forme de règlements. Le Parlement a d'ailleurs approuvé ces documents, dont l'autre porte sur la gouvernance produit à la fin du mois d'octobre 2017. L'article 9 du texte dispose par exemple que la fourniture du conseil à l'égard d'un client doit être basée sur « la source et l'importance de ses revenus réguliers, ses actifs, y compris les actifs liquides, ses investissements ainsi que ses biens immobiliers et ses engagements financiers réguliers ». Soit un effort particulier de la part des conseillers pour collecter toutes ses données mais qui n'est pas insurmontable dans la mesure où une majorité d'entre eux est équipée de solutions informatiques fournies par les principaux éditeurs de la Place. Dans le détail, il est prévu que la prise d'information concerne également les actifs sous-jacents détenus par l'épargnant lorsqu'un arbitrage est envisagé.Fiabilité des informations. Par ailleurs, les compagnies et les distributeurs ont la charge de prendre « toutes mesures raisonnables » afin de s'assurer de la fiabilité des informations transmises par leurs clients. A charge pour les conseillers de les informer « de l'importance de fournir des informations exactes et actualisées ». C'est ce dont les professionnels devront s'assurer, étant précisé qu'il est question de « faire en sorte que les questions posées dans le cadre du processus soient susceptibles d'être comprises ». Enfin, l'intermédiaire devra examiner si les informations qui lui ont été transmises comportent des « inexactitudes manifestes ».Une anticipation du marché français. Pour la FFA, de telles précisions de la part du règlement délégué « reprennent très largement » les préconisations du superviseur des assurances dans sa recommandation de janvier 2013 sur le recueil des informations relatives à la connaissance du client dans le cadre du devoir de conseil en assurance vie. « Ainsi, que ce soit au niveau des informations à recueillir du client dans le cadre du test d'adéquation, de la vérification de la fiabilité de ces informations et de la restitution par écrit de l'évaluation de l'adéquation », ces règles « ont déjà été anticipées en France », souligne l'association professionnelle des assureurs « et leur mise en oeuvre devrait donc s'en trouver facilitée ».L'application en droit français. Qu'en est-il de la transposition de la norme DDA dans l'ordre juridique français ? D'ailleurs, quelle est la voie choisie par les autorités en matière de transposition ? A la place de l'article L.132-27-1 du Code des assurances, un projet d'article L.521-4 a été soumis à la Place par la Direction générale du Trésor. Celui-ci distingue deux régimes, à savoir un premier niveau obligatoire qui reprend l'article L.132-27-1 actuel sans l'obligation de préciser les raisons motivant le conseil fourni. Au motif que le contrat visé est conçu en fonction d'une clientèle cible, le distributeur n'est plus tenu qu'à une obligation de vérifier la cohérence du produit avec les exigences et besoins du client. Un second niveau optionnel, la recommandation personnalisée, consiste à préciser à un client au-delà du premier niveau obligatoire, « en quoi un ou plusieurs produits d'investissement sont parmi les différents produits plus adéquats à ses exigences et besoins et en particulier plus adaptés à sa tolérance aux risques et à sa capacité à subir des pertes ».Vérification du test de cohérence. En pratique, la question se pose de savoir sur quels critères et selon quelles modalités le superviseur des assurances s'appuiera, si ce projet de régime obligatoire est maintenu en l'état, pour vérifier le respect du test de cohérence du produit avec les besoins et les exigences du client. En particulier, la Place, par l'intermédiaire de la Fédération française des assurances, s'est interrogée : l'ACPR maintiendra-t-elle, pour ce régime, sa recommandation de 2013 sur la connaissance du client en assurance vie, laquelle prévoit de s'informer également sur la capacité à subir des pertes et sur la tolérance aux risques ? Sur ce point, il semble que le texte issu de la transposition ne soit pas encore stabilisé et que le régulateur pourrait « aller au-delà des obligations prévues par la DDA pour les tests d'adéquation nécessaires à la recommandation personnalisée », avance Carole Riaux.Le sujet de la mise en garde. La FFA ne cache pas qu'une difficulté « peut provenir du fait que dans la directive, le conseil est un service demandé par le client ». Dès lors qu'il demande ce service, il accepte également de répondre aux questions portant par exemple sur ses revenus, sur ses dépenses mais aussi sur la composition et le montant de son patrimoine qui lui sont posées dans le cadre du test d'adéquation. « S'il ne le fait pas, le service de conseil ne pourra lui être fourni, souligne-t-on à la fédération. Mais lorsque le conseil est rendu obligatoire comme en France, comment traiter le refus du client de fournir les informations requises ? » Si le droit français actuel permet de recourir à la mise en garde, la DDA ne le permet pas pour le service de conseil. Ce qui conduit la FFA à prendre position : « Sur ce point, et sauf à imposer au client un régime de conseil qu'il n'aurait pas forcément choisi, la Profession demande le maintien de la solution de la mise en garde ».Utilisation des données dans la durée. En résumé, avec la DDA, le devoir de conseil ne consiste pas en la communication d'une simple information mais bien en la prise en compte des exigences et des besoins exprimés par le souscripteur en vue de lui fournir une recommandation personnalisée pour les produits d'investissements. Ce qui correspond, ni plus ni moins, à une pratique revendiquée par une majorité des conseils en gestion de patrimoine. Une telle initiative tend à homogénéiser la pratique de l'ensemble des acteurs, notamment afin d'exercer cette mission de conseil tout au long de la vie du contrat. Il est d'ailleurs prévu que la formalisation de ce conseil soit tracée et archivée.RGPD. Ce qui ne sera pas une sinécure au regard d'un autre règlement européen. En effet, une fois collectée cette masse considérable d'information et de données portant sur les épargnants, la question de leur traitement se posera au regard des nouvelles limites imposées par le règlement général des données personnelles (RGPD) (L'Agefi Actifs, n°709, p.22). Ces collecteurs d'informations devront s'interroger sur la durée de conservation pertinente de ces données au soutien de leur activité commerciale. Mais aussi sur la question de savoir si une telle pratique est conforme au droit des individus sur l'utilisation de leurs données personnelles.Le réexamen périodique. Une fois le conseil délivré, le conseiller n'en a pas fini avec la DDA. En effet, l'article 14 du règlement délégué qui est dédié à la déclaration d'adéquation de la recommandation met à la charge les acteurs de la distribution l'obligation d'attirer l'attention des clients « sur le fait que les produits d'investissement fondés sur l'assurance sont susceptibles ou non de les obliger à demander un réexamen périodique de leurs accords ». Dès lors, une solution de simplicité pour la Place ne consisterait-elle pas à ne pas mentionner une telle éventualité ? Selon Céline Lemoux, « vis-à-vis du superviseur, prendre de tels engagements équivaudrait à se charger de nouvelles obligations. Je ne vois pas comment des réseaux salariés seraient en mesure d'élaborer des recommandations personnalisées fondées sur des réévaluations périodiques. A mon sens, seuls des conseillers en investissements financiers sont capables d'orienter leur clientèle sur de telles préconisations car cette pratique matérialise en grande partie l'activité qu'ils exercent déjà aujourd'hui ».Sa périodicité. Si une telle réévaluation est prévue, avec quelle régularité faudra-il l'envisager ? L'article un du règlement délégué mentionne un réexamen annuel tandis que le paragraphe 8 du même document prévoit que l'évaluation d'adéquation « devrait être » effectuée « pour toute recommandation personnalisée adressée pendant la durée de vie du produit », dans la mesure où une telle situation peut « impliquer un conseil sur des transactions financières ». Pour mémoire, depuis 2013, l'ACPR prévoit d'actualiser « en tant que de besoin », les informations recueillies afin que le conseil fourni soit adapté au profil du client.Remontées terrain. Selon Arieh Brunschwig, si la directive sur la distribution permet de préciser « opportunément » les diligences à effectuer, notamment en ce qui concerne un contrôle systématique en cas de nouvelle recommandation, « les professionnels s'interrogent plus particulièrement sur son contenu. Doit-il s'étendre à chaque sous-jacent (UC) recommandé et non au simple profil de risque ? Le suivi du risque sur le portefeuille en cas d'opérations directement réalisées par le client notamment via des interfaces digitales est également en suspens ».Quelle appréhension par les tribunaux ? A toujours vouloir responsabiliser les distributeurs de produit d'épargne, on en perdrait de vue les principes généraux de la responsabilité qui gouvernent déjà ces aspects de la distribution. D'ailleurs, il faut reconnaître que jusqu'à présent et en dépit d'une règlementation homogène, les chambres de la Cour de cassation ont adopté une position équivoque sur le devoir de conseil à la charge des intermédiaires (L'Agefi Actifs, n°697, p.20). Il sera intéressant d'observer la manière dont les juges judiciaires tiendront compte des règles découlant de la DDA. « D'une approche transactionnelle à un schéma relationnel » En réalité, la finalité de la directive sur la distribution d'assurance n'a rien de révolutionnaire. Il ne s'agit que du prolongement d'une pratique largement répandue au sein des compagnies qui demeurent attachées à servir l'intérêt de leurs clients. On peut d'ailleurs s'étonner de la suspicion qui existe à l'encontre des assureurs sur ce point. Vis-à-vis des assurés, on passe d'une approche transactionnelle axée sur la souscription et le paiement des prestations à un schéma relationnel qui doit perdurer tout au long de la vie des contrats. De nos jours, avec ou sans texte, le client souhaite s'assurer régulièrement que le produit qu'il a souscrit correspond à ses besoins.
Ce texte se distingue en ce qu'il oblige les opérateurs à davantage de précisions sur le partage de responsabilité entre le concepteur et le distributeur du produit d'assurance. Précisément, c'est plus une clarification de forme qu'un changement de fond.
Pour autant, il est nécessaire de revoir les conventions, ce qui représente un travail important pour les besoins duquel un report de l'application de la directive est nécessaire. Celle-ci présente un état d'esprit vertueux, en revanche elle ne doit pas donner lieu à une transposition trop précise avec des dispositions, qui pourraient se trouver inadaptées à l'avenir et qui, par voie de conséquence, desserviraient l'intérêt des clients.
DATE-CHARGEMENT: 31 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 L'AGEFI
Tous droits réservés
324 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 10 Novembre 2017
Cambridge Blockchain, la regtech américaine qui surfe sur la vague RGPD
AUTEUR: Charlie Perreau
RUBRIQUE: ARTICLES; Banque - assurance
LONGUEUR: 976 mots
ENCART: Après avoir levé 2 millions d'euros en début d'année, cette start-up américaine a ouvert à la rentrée un bureau à Paris pour s'attaquer au marché européen.
Pour les commerçants, mieux connaître son client est un enjeu marketing. Pour les établissements financiers, c'est un enjeu réglementaire. S'ils ne vérifient pas suffisamment l'identité de leurs clients dans le cadre de la lutte contre le blanchiment d'argent et le financement du terrorisme, ils risquent gros. Entre 2009 et 2016, les sanctions financières prononcées contre les banques pour non-conformité ont atteint 321 milliards de dollars dans le monde (dont 37% pour les banques européennes), selon le Boston Consulting Group.
Même si les banques respectent les règles, il faut prendre en compte le coût élevé du KYC (le processus pour vérifier l'identité des clients). Selon une étude de Thomson Reuters auprès de banques britanniques, elles dépensent chacune en moyenne 47,8 millions d'euros par an pour la conformité KYC. Le Règlement général sur la protection des données (RGPD), qui entrera en vigueur en mai 2018, ajoutera une nouvelle couche à ce mille-feuille... et des amendes éventuelles allant jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel en cas de non-respect. Les regtech européennes, ces start-up qui facilitent le respect des réglementations, ont donc une belle opportunité... que leurs homologues américaines veulent également saisir.
"Les relations de Partech avec des établissements financiers européens nous aident à investir de nouveaux marché"
C'est le cas de Cambridge Blockchain, jeune société US basée dans le Massachusetts. Elle a conçu un logiciel d'identité numérique basé sur la blockchain. Celui-ci permet aux institutions financières d'améliorer leur niveau de conformité et d'accueillir plus rapidement de nouveaux clients. La start-up n'utilise pas la blockchain pour stocker des données personnelles sur l'identité mais pour stocker des preuves cryptographiques sur l'identité en général. Par exemple, si une entité partage un document PDF, elle peut le comparer à une preuve cryptographique sur une blockchain partagée entre différents participants. La blockchain valide ou non l'authenticité du document. La société travaille actuellement avec plusieurs grands établissements financiers mondiaux (dont les noms ne sont pas communiqués) pour des contrats à "plusieurs millions de dollars", indique Matthew Commons, CEO et cofondateur de Cambridge Blockchain. Son logiciel est aussi utilisable par les établissements européens mais avec quelques adaptations. "Le processus d'onboarding est aussi très lourd en Europe. Les réglementations en matière de protection des données personnelles sont encore plus fortes qu'aux Etats-Unis", souligne le CEO.
De Paris à Luxembourg
En septembre dernier, la start-up créée en 2015 a donc ouvert une filiale européenne à Paris, au sein du Partech Shaker, le campus de start-up de Partech Ventures, pour accélérer son déploiement sur le Vieux continent. Cette installation suit sa levée de fonds de 2 millions de dollars réalisée en janvier dernier auprès du fonds d'investissement américain Digital Currency et de Partech Ventures. "Les relations stratégiques de Partech avec des établissements financiers européens nous aident à investir de nouveaux marchés", souligne Matthew Commons.
Le choix de la France était motivé par plusieurs raisons. "Premièrement, Paris est idéal pour se déplacer en Europe. C'est très simple de se rendre en Allemagne, au Royaume-Uni, au Luxembourg ou encore en Belgique. Deuxièmement, nous nous rapprochons de nos investisseurs et troisièmement c'est un marché très prometteur pour nous. Nous avons de bonnes relations avec les principales banques françaises", indique le dirigeant. Quid du Brexit ? "Cela n'a pas été décisif mais c'est un élément que nous avons tout de même pris en compte." Le patron de la start-up commence les recrutements pour le bureau français. "Nous cherchons des personnes pour le service client, la vente et les fonctions support. Les profils techniques restent aux Etats-Unis. Au total nous sommes neuf et nous avons prévu d'être 18 d'ici fin 2018", précise le CEO.
"Nous collaborons avec les Cnil des différents pays pour être à jour."
Depuis l'ouverture de son bureau à Paris, les demandes des clients affluent, assure-t-il. "Nous avons remarqué une augmentation avec le GDPR. Par conséquent, nous avons designé notre logiciel avec les codes de GDPR comme le droit à l'oubli, le principe de minimisation des données, le rôle du data protection officer... Nous collaborons avec les Cnil des différents pays pour être à jour."
Cambridge Blockchain est déjà bien implanté au Luxembourg. Depuis quelques mois, la start-up développe une plateforme d'identité pour la protection de la vie privée basée sur la blockchain avec LuxTrust, un fournisseur d'identité numérique et de sécurisation des données électroniques détenue par le gouvernement luxembourgeois et plusieurs banques du pays. "Quand un client souhaitera ouvrir un compte bancaire au Luxembourg avec un document d'identité, la banque lui fournira un "service de données personnelles", une sorte de base de données personnelle qui stockera tous ses documents. Pour chaque caractéristique d'identité, (adresse, date anniversaire...), la banque signera une preuve cryptographique sur la blockchain partagée par un groupe de banques et des institutions publics luxembourgeoises. Une fois un compte bancaire ouvert dans une banque, il deviendra alors plus facile d'obtenir tout type de services financiers à Luxembourg", explique Matthew Commons. La plateforme sera disponible mi-2018 pour 500 000 personnes dans le pays. Cambridge Blockchain annoncera plusieurs projets l'année prochaine dont un en France.
Et aussi : Les regtech séduisent les banques noyées par la législation
Ces start-up promettent aux institutions financières d'être conformes aux multiples réglementations en vigueur. Et de leur faire économiser des millions d'euros chaque année.
DATE-CHARGEMENT: 10 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
325 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 10 Novembre 2017
"Nous nous efforçons de ne pas collecter plus de données que nécessaire"
AUTEUR: La Rédaction
RUBRIQUE: INTERVIEW; Services
LONGUEUR: 718 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la correspondante à la protection des données de La Poste et de La Banque postale évoque ses chantiers dans le groupe.
JDN. Quel est votre parcours et pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation de La Poste et de quelle direction dépendez-vous ? Isabelle Fluxa est correspondante à la protection des données de La Poste et de La Banque postale © S. de P. La Poste
Isabelle Fluxa (La Poste). J'ai été directrice de la planification stratégique du groupe durant quinze ans puis directrice des affaires institutionnelles nationales de 2003 à 2015. J'étais notamment chargée des contrats d'entreprise et de la réforme des retraites des postiers, autant de sujets fortement "impliquants". Il y a aujourd'hui beaucoup d'enjeux importants en matière de protection des données personnelles, notamment dans l'univers du numérique. Depuis août 2016, je suis correspondante à la protection des données du groupe, aussi bien à La Poste qu'à La Banque postale.
Statutairement, le Correspondant informatique et liberté (CIL) aujourd'hui ou le Data protection officer (DPO) demain n'ont pas de supérieurs hiérarchiques. Cela dit, je suis rattachée au directeur juridique de La Poste et de La Banque postale, tout en étant membre du comité de direction de cette dernière. Enfin, j'ai deux adjoints à La Banque postale et quatre collaborateurs à La Poste, ainsi que divers référents informatique et liberté dans la centaine de filiales du groupe.
Quels sont les principaux enjeux de votre action au sein du groupe La Poste ?
Notre principal enjeu, c'est le développement des activités numériques du groupe, ce qui comporte nécessairement une forte dimension relative à la protection des données personnelles. C'est une question de conformité au soutien de notre développement d'autant que La Poste a une forte image de confiance. Nous ne collectons des adresses mail, par exemple, qu'avec le consentement express de nos clients.
Quelles premières mesures avez-vous prises à votre arrivée ?
D'abord organiser et renforcer mon équipe tout en améliorant l'outil de traitement des données personnelles. Ensuite préparer la mise en ½uvre du Règlement général de protection des données (RGPD) qui interviendra le 25 mai 2018. Nous nous efforçons ainsi de diagnostiquer les traitements, notamment les plus risqués, en construisant des plans d'action même si nous manquons relativement de moyens. Pour ce qui est des traitements les plus risqués, nous avons défini deux critères : la dépendance au business de La Poste et les traitements où il faudra une conformité parfaite avec le RGPD.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
De nombreux acteurs sont impliqués : DSI, RSSI, direction juridique, responsables de la conformité, etc. Il y a donc un fort enjeu managérial derrière tout cela. Nous avons donc constitué une communauté de la protection des données avec des réunions mensuelles régulières. Encore une fois, tout est une question de priorisation et de gestion par les risques.
Quelle utilisation spécifique faites-vous des données personnelles en votre possession ?
Les données personnelles sont collectées à des fins précises. Il ne s'agit donc pas de faire n'importe quoi. Nous nous efforçons de ne pas collecter plus de données que nécessaire. Qu'il s'agisse de nouveaux collaborateurs, de clients, de prospects commerciaux, etc. De même, nous insistons pour que les gens soient toujours bien informés.
Quels sont vos principaux chantiers à venir ?
Il y en a beaucoup dans la mesure où le RGPD est très exigeant. Nous avons divers plans d'action à déployer, notamment la rédaction de directives internes au groupe, la notification des violations d'action à l'Autorité de contrôle ou l'analyse d'impact sur la vie privée. Il y a aussi la question de la formation des collaborateurs à grande échelle, notamment sur l'usage des données personnelles dans le cadre de leurs activités. Nous avons aussi un projet d'Intranet dédié pour l'année prochaine. Pour la Banque postale, nous participons à tous les travaux de place, notamment au sein de la Fédération française des banques (FFB) pour tout ce qui touche aux sujets informatique et liberté.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 15 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
326 of 500 DOCUMENTS
Le Monde
10 novembre 2017 vendredi
Données personnelles : une protection inefficace et contre-productive
AUTEUR: Par Pierre Calmard
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 7
LONGUEUR: 980 words
ENCART: Pour Pierre Calmard, chef d'entreprise, l'Europe a tort de se battre contre la collecte d'informations sur les internautes mais devrait veiller à leur bonne utilisation
Les plates-formes numériques, Google et Facebook en tête, captent désormais une -immense partie du pactole publicitaire issu de la révolution -numérique. Leur emprise est mondiale et a pour conséquence d'assécher les revenus des médias. Comme si le contenant avait gagné la bataille -économique sur le contenu - puisque, par essence, ces géants n'en produisent, pour le moment, aucun.
Les grandes plates-formes ont pris l'ascendant en intégrant avant tout le monde la portée d'une révolution -radicale, première étape de l'évolution de notre espèce. Nous serons bientôt a minima boostés par des assistants -dotés d'intelligences artificielles, des robots, et sans doute à terme corporellement et psychiquement augmentés. Sujets de craintes et de crispations, le respect de la vie privée, pilier du sentiment de liberté, est ainsi devenu un enjeu fondamental. Sous la pression des citoyens, l'Europe et les gouvernements nationaux se sont emparés du sujet. Des lois et des règlements apparaissent, le dernier en date étant le -règlement général sur la protection des données (RGPD), en attendant le règlement e-Privacy à venir courant 2018. Leurs buts : protéger les citoyens en réduisant les possibilités de tracer leurs comportements en ligne.
Dans ce contexte, la réaction des éditeurs français paraît paradoxale. D'un côté, ils exigent des règlements qui -devraient a priori réduire la domination économique de leurs concurrents Google et Facebook. De l'autre, ils les bafouent en construisant leurs propres plates-formes de data mutualisées (Alliance Gravity ou Skyline) pour tenter d'offrir de vraies solutions de -ciblage marketing au marché publicitaire. Ce paradoxe apparent tient à deux incompréhensions majeures de la part des régulateurs.
La première, c'est que le pouvoir de Google et Facebook ne repose pas sur lescookies, mais sur le " surf -logué ", c'est-à-dire l'identification du consommateur.Comme quasiment tout le monde reste connecté en permanence, les plates-formes enregistrent la totalité des sites Internet ou applications visités par les internautes. Mieux, elles sont capables de faire le lien entre les divers terminaux utilisés par un individu (ordinateur, tablette, smartphone). Quant aux données -récoltées par Amazon, elles sont -encore plus puissantes, puisque la plate-forme sait non seulement ce que vous recherchez, mais surtout ce que vous achetez. Pour le marketing, ces informations sont hautement plus -efficaces que celles qu'un média isolé peut recueillir : d'où la nécessité de se grouper et de former des alliances. Une initiative vitale, que risque de tuer dans l'oeuf le règlement e-Privacy, dont l'objet est de limiter le recueil des données par les sites et applications qui n'exigent pas d'authentification.
Agiter le chiffon rouge
La deuxième incompréhension, c'est qu'il est illusoire de penser que l'écosystème média puisse se passer de l'argent de la publicité. Il a toujours -reposé sur deux principes de financement : le pouvoir politique - avec le risque avéré dans l'Histoire d'une mainmise des Etats sur les organes de communication - et la publicité. Les marques subventionnent l'existence même des médias, et permettent ainsi le fonctionnement démocratique. La gratuité des plates-formes -numériques repose en quasi-totalité sur l'argent des marques. L'accès au savoir mondial repose sur ce financement. Changer ce système à court terme relève de la gageure. Pourtant, l'Europe a les moyens d'agir. Et toutes les raisons politiques et économiques de protéger son modèle.
Parmi les pistes à explorer, la première consiste à protéger les éditeurs, et donc le pluralisme. Il faut pour cela accepter - en l'expliquant - ce qui doit constituer la base d'un échange -gagnant-gagnant : la gratuité de l'accès à l'information pour le consommateur, contre son acceptation tacite d'être la " victime -consentante " du -ciblage publicitaire. Mais même dans cette hypothèse, la partie est loin d'être gagnée pour les éditeurs. Les moyens dont disposent les GAFA (Google, Apple, Facebook, Amazon) en matière d'intelligence artificielle leur confèrent une avance considérable sur un marché dicté par l'efficacité publicitaire.
Une deuxième piste consiste à entraver l'irrésistible marche en avant des plates-formes numériques, en instaurant les règles d'une juste répartition de la valeur entre contenants (plates-formes) et contenus (médias). Les Américains laissent le marché opérer, mais sa taille constitue en soi un avantage considérable. Quant aux Chinois, la puissance d'un Etat en symbiose avec ses champions n'appelle guère de débat de la part de consommateurs en pleine effervescence économique.
Empêtrée dans ses contradictions, l'Europe risque de se voir rapidement confisquer ses prérogatives par les géants de l'industrie numérique. Agiter le chiffon rouge du " respect de la vie privée ", c'est se donner bonne conscience, mais en détournant l'attention des citoyens des vrais enjeux. Car le fond du débat lui-même confine à l'absurde : en quoi inonder le consommateur de publicités non ciblées constitue un " respect de la vie privée " et une innovation pour l'humanité ? Au contraire, mieux cibler la publicité pour moins dépenser, devenir plus -efficace et plus pertinent, est une vraie voie de progrès pour tous.
Le vrai débat est celui de la démocratie, telle que l'Europe l'a inventée. Faire évoluer et perdurer notre modèle -nécessite de développer des intelligences artificielles qui permettront de préserver, plus que nos " vies privées ", nos modes de vie tout court. Il faut- -accélérer la collecte des données de consommation et de comportement, et en sécuriser l'utilisation, plutôt que d'en contraindre l'extraction. Le prix de la démocratie, ce n'est pas le renoncement à la vie privée ; c'est l'acceptation de la nécessité de sortir de nos -cavernes, en inscrivant nos histoires dans la toile de fond numérique.
DATE-CHARGEMENT: 9 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Monde Interactif
Tous Droits Réservés
327 of 500 DOCUMENTS
Le Monde.fr
Vendredi 10 Novembre 2017
«Il faut accélérer la collecte des données de consommation et de comportement, et en sécuriser l'utilisation»
LONGUEUR: 1000 words
Tribune. Les plates-formes numériques, Google et Facebook en tête, captent désormais une immense partie du pactole publicitaire issu de la révolution numérique. Leur emprise est mondiale et a pour conséquence d'assécher les revenus des médias. Comme si le contenant avait gagné la bataille économique sur le contenu - puisque, par essence, ces géants n'en produisent, pour le moment, aucun.
Les grandes plates-formes ont pris l'ascendant en intégrant avant tout le monde la portée d'une révolution radicale, première étape de l'évolution de notre espèce. Nous serons bientôt a minima boostés par des assistants dotés d'intelligences artificielles, des robots, et sans doute à terme corporellement et psychiquement augmentés.
Sujets de craintes et de crispations, le respect de la vie privée, pilier du sentiment de liberté, est ainsi devenu un enjeu fondamental. Sous la pression des citoyens, l'Europe politique et les gouvernements nationaux se sont emparés du sujet. Des séries de règlements et de lois apparaissent, le dernier en date étant le règlement général sur la protection des données (RGPD), en attendant le règlement «e-Privacy» à venir courant 2018. Leurs buts: protéger les citoyens en réduisant les possibilités de tracer leurs comportements en ligne.
Paradoxe
Dans ce contexte, la réaction des éditeurs français paraît paradoxale. D'un côté, ils exigent des règlements qui devraient a priori réduire la domination économique de leurs concurrents Google et Facebook. De l'autre, ils les bafouent en construisant leurs propres plates-formes de data mutualisées (Alliance Gravity ou Skyline) pour tenter d'offrir de vraies solutions de ciblage marketing au marché publicitaire.
Ce paradoxe apparent tient à deux incompréhensions majeures de la part des régulateurs.
La première, c'est que le pouvoir de Google et Facebook ne reposent pas sur les «cookies», mais sur le «surf logué», c'est-à-dire l'identification du consommateur. Comme quasiment tout le monde reste connecté en permanence, les plates-formes enregistrent la totalité des sites Internet ou applications visités par les internautes.
Mieux, elles sont capables de faire le lien entre les divers terminaux utilisés par un individu (ordinateur, tablette, smartphone). Quant aux données récoltées par Amazon, elles sont encore plus puissantes, puisque la plate-forme sait non seulement ce que vous recherchez, mais surtout ce que vous achetez.
Pour le marketing, ces informations sont hautement plus efficaces que celles qu'un média isolé peut recueillir: d'où la nécessité de se grouper et de former des alliances. Une initiative vitale, que risque de tuer dans l'oeuf le règlement e-Privacy, dont l'objet est de limiter considérablement le recueil des données par les sites et applications qui n'exigent pas d'authentification.
L'Europe a les moyens d'agir
La deuxième incompréhension, c'est qu'il est illusoire de penser que l'écosystème média puisse se passer de l'argent de la publicité. Il a toujours reposé sur deux principes de financement: le pouvoir politique - avec le risque avéré dans l'Histoire d'une mainmise des Etats sur les organes de communication - et la publicité.
Les marques subventionnent l'existence même des médias, et permettent ainsi le fonctionnement démocratique. La gratuité des plates-formes numériques repose en quasi-totalité sur l'argent des marques. L'accès au savoir mondial repose sur ce financement. Changer ce système à court terme relève de la gageure.
Pourtant, l'Europe a les moyens d'agir. Et toutes les raisons politiques et économiques de protéger son modèle.
Parmi les pistes à envisager, la première consiste à protéger les éditeurs, et donc le pluralisme, fondement du débat démocratique. Il faut pour cela accepter - en l'expliquant - ce qui doit constituer la base d'un échange gagnant-gagnant: la gratuité de l'accès à l'information pour le consommateur, contre son acceptation tacite d'être la «victime consentante» du ciblage publicitaire.
Même dans cette hypothèse, d'ailleurs, la partie est loin d'être gagnée pour les éditeurs. Les moyens dont disposent les GAFA (Google, Apple, Facebook, Amazon) en matière de «machine learning» et d'intelligence artificielle leur confèrent une avance considérable sur un marché dicté par l'efficacité publicitaire.
Plus efficace et plus pertinent
Une deuxième piste consiste à entraver l'irrésistible marche en avant des plates-formes numériques, en instaurant les règles d'une juste répartition de la valeur entre contenants (plates-formes) et contenus (médias). Les Américains laissent le marché opérer, mais sa taille constitue en soi un avantage considérable. Quant aux Chinois, la puissance d'un Etat en symbiose avec ses champions n'appelle guère de débat de la part de consommateurs en pleine effervescence économique.
Empêtrée dans ses contradictions, l'Europe risque de se voir rapidement confisquer ses prérogatives par les géants de l'industrie numérique. Agiter le chiffon rouge du «respect de la vie privée», c'est se donner bonne conscience, mais en détournant l'attention des citoyens des vrais enjeux. Car le fond du débat lui-même confine à l'absurde: en quoi inonder le consommateur de publicités non ciblées constitue un «respect de la vie privée» et une innovation pour l'humanité? Au contraire, mieux cibler la publicité pour moins dépenser, devenir plus efficace et plus pertinent, est une vraie voie de progrès pour tous.
Le vrai débat est celui de la démocratie, telle que l'Europe l'a inventée. Faire évoluer et perdurer notre modèle nécessite de développer des intelligences artificielles qui permettront de préserver, plus que nos «vies privées», nos modes de vie tout court.
Il faut accélérer la collecte des données de consommation et de comportement, et en sécuriser l'utilisation, plutôt que d'en contraindre l'extraction. Le prix de la démocratie, ce n'est pas le renoncement à la vie privée; c'est l'acceptation de la nécessité de sortir de nos cavernes, en inscrivant nos histoires dans la toile de fond numérique.
DATE-CHARGEMENT: 10 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
328 of 500 DOCUMENTS
Les Echos
vendredi 10 novembre 2017
Quand la blockchain simplifie la résiliation de contrats d'assurance
AUTEUR: LAURENT THEVENIN
RUBRIQUE: ARTICLE; Gain de temps; Pg. 31 N°. 22569
LONGUEUR: 525 mots
ENCART: Quatorze compagnies testent une blockchain interassureurs afin de simplifier leurs échanges dans le cadre de la loi Hamon sur les résiliations de contrats.
Les premières applications à grande échelle de la technologie blockchain dans l'assurance prennent forme. La Fédération française de l'assurance (FFA) a annoncé jeudi l'expérimentation par 14 compagnies d'une « blockchain interassureurs autour de l'échange de données sécurisées ». Cette plate-forme, montée avec la start-up Stratumn, qui développe des réseaux blockchain de place, et le cabinet Deloitte, a été testée sur les processus de résiliation de contrats dans le cadre de la récente loi Hamon.
Avec cette dernière, il est désormais possible au consommateur de changer d'assureur automobile ou habitation à tout moment au bout de douze mois d'engagement. C'est le nouvel assureur qui doit effectuer la demande de résiliation pour le compte de l'assuré, sachant que la résiliation doit être effective 30 jours après la demande du client.
Gain de temps
La plate-forme présentée jeudi doit justement permettre aux assureurs de « fluidifier leurs envois de notifications de résiliation », explique Stratumn. A ce titre, la technologie blockchain - un registre informatique public et décentralisé de transactions qui permet l'exécution de contrats intelligents - apporterait, selon ses promoteurs, des avancées en termes d'horodatage et un gain de temps par rapport aux processus existants.
Cela permettrait aussi « de diviser au minimum par cinq les coûts existants », fait valoir aux « Echos » Nicolas Julia, directeur des opérations chez Stratumn. Cette plate-forme élimine ainsi les coûts liés à la « complexité de communication entre des systèmes d'information hétérogènes » et elle fait économiser l'envoi de lettres recommandées, détaille-t-il.
Avec le couplage d'une « cryptographie de pointe », cette plate-forme « garantit la confidentialité de toutes les données échangées et limite la divulgation de l'information au strict minimum nécessaire à chaque partie prenante », affirme par ailleurs Stratumn. Un point évidemment crucial avant l'entrée en vigueur, en 2018, du Règlement général de l'Union européenne sur la protection des données (RGPD). « La technologie blockchain semble apporter un très bon niveau de sécurité dans les échanges de données entre assureurs. Elle est bien adaptée à des cas d'usage B to B [...], réduit le coût de traitement des dossiers et autorise une variété d'applications additionnelles », constate de son côté la FFA.
Selon Stratumn, sa plate-forme pourrait servir pour de nombreux autres cas d'usage et serait « très flexible ». Elle peut « embarquer facilement de nouveaux opérateurs », souligne Nicolas Julia. Il s'agit d'un « moment majeur dans l'histoire de Stratumn », déclare dans un communiqué Richard Caetano, cofondateur et directeur général de cette start-up créée en 2015. L'actualité de la jeune pousse est en tout cas particulièrement riche, puisqu'elle avait annoncé la semaine dernière l'entrée à son tour de table de C. Entrepreneurs, le fonds d'investissement de BNP Paribas Cardif, dans le cadre de l'extension de son premier tour de financement. Alors qu'elle avait levé en juin 7 millions d'euros, sa levée de fonds (Series A) s'élève désormais à 8 millions d'euros.
DATE-CHARGEMENT: 10 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
329 of 500 DOCUMENTS
L'AGEFI Hebdo
novembre 9 2017
Profession : gardien des données
AUTEUR: Yves Rivoal
RUBRIQUE: CARRIÈRES & TALENTS; Pg.38
LONGUEUR: 1356 words
Le compteur tourne ! Les établissements financiers n'ont plus que six mois pour être en conformité avec le nouveau règlement général sur la protection des données (RGPD). Comme le rappelle Michael Bittan, associé cybersécurité chez Deloitte : « Même si les banques et les sociétés d'assurances n'ont pas attendu le RGPD pour s'emparer de la question, ce texte va ébranler fortement les processus déjà en place ». Les entreprises auront en effet pour obligation de cartographier l'ensemble des données personnelles de leurs clients et de leurs collaborateurs, « une démarche qui se révèle très lourde sur le plan opérationnel car elle suppose de scanner les bases de données, mais aussi les documents Word, Excel ou PDF qui peuvent contenir des données personnelles », souligne Olivier Henry, associé chez EY en charge du département IT & Risque Assurance. « Les établissements financiers devront également appliquer de nouvelles dispositions comme l'auto-contrôle permanent afin d'être en mesure de 'démontrer' leur conformité, le consentement obligatoire, l'anonymisation des données, le droit à la portabilité et à l'oubli, ou le 'privacy by design' qui implique d'intégrer la protection des données personnelles dès la conception d'un nouveau processus », complète Yann Padova, partner en charge de la pratique « données personnelles » au cabinet d'avocats d'affaires Baker McKenzie à Paris.
Le RGPD aura aussi des incidences en matière d'organisation et de gouvernance. D'abord parce qu'il impose une nouvelle fonction au sein des organigrammes : celle de data protection officer (DPO). La Société Générale vient d'ailleurs de nommer le sien. Antoine Pichot, plus de vingt ans d'ancienneté dans la banque au logo rouge et noir, jusque-là codirecteur de la stratégie, du digital et de la relation client de la banque de détail en France, est désormais le gardien de ses « data ». « Le rôle du délégué à la protection des données s'apparente à celui d'un chef d'orchestre, explique Yann Padova. Il devra d'abord rapporter au plus haut niveau de l'entreprise, tout en bénéficiant d'une totale indépendance pour agir. Il aura également pour mission de piloter la politique en matière de protection des données personnelles, de s'assurer de sa conformité, et de servir de point de contact avec l'autorité de contrôle. »
Recrutements à venir
Dans les entreprises qui disposent déjà de correspondants informatique et libertés (CIL), ces derniers ont vocation à revêtir le costume de DPO. Cela devrait être le cas de Philippe Salaün, 56 ans, CIL de CNP Assurances depuis 2008 : « Pour remplir cette mission, il faut bien connaître la réglementation sur les données personnelles, le métier de l'assurance, les risques qui y sont associés et les systèmes d'information. Mon parcours me place à la croisée de tout cela », estime ce titulaire d'une maîtrise de gestion qui a travaillé dix ans comme consultant IT pour le secteur bancaire, avant de rejoindre en 1996 CNP Assurances, où il a été successivement responsable organisation, responsable maîtrise d'ouvrage SI et responsable des risques opérationnels.
Bientôt, le RGPD déclenchera des recrutements, prévoit Paul-Olivier Gibert, président de l'Association française des correspondants aux données personnelles (AFCDP), qui fédère une communauté de 2.200 adhérents experts en données personnelles : « Il est de bon usage, lorsque le risque lié à une catégorie augmente, de voir mécaniquement les ressources augmenter. Cela devrait donc être le cas pour la protection des données personnelles car le DPO ne pourra pas tout faire tout seul. » L'offre de formation est ainsi en train se renforcer significativement pour accompagner la montée en compétences des entreprises sur le sujet. L'école d'ingénieurs du numérique, l'Isep, propose depuis quelques années un mastère spécialisé « Management et protection des données personnelles ». Et en 2016 et 2017, les universités Paris-Descartes et Panthéon-Assas ont inauguré des DU « Protection des données à caractère personnel » et « Délégué à la protection des données ». La croissance des offres d'emploi s'observe également sur le jobboard de l'AFCDP. « Nous recevons depuis mai une trentaine de nouvelles offres chaque mois, et il s'agit en majorité de CDI, alors qu'auparavant, il s'agissait plutôt de stages, confie Paul-Olivier Gibert. Et lorsqu'on observe les intitulés, 'chef de projets données personnelles', 'DPO adjoint', ou 'chargé de mission auprès du DPO', on constate qu'un début d'écosystème se met en place autour du futur DPO. » Chez CNP Assurances, aucune embauche n'est programmée pour l'heure. Avec une personne à temps plein au sein de son équipe, Philippe Salaün s'appuie sur une dizaine de collaborateurs sensibilisés à la protection des données. « Nous sommes d'ailleurs en train d'étoffer ce réseau car le RGPD impose d'instaurer des relais dans chaque direction métier, rappelle-t-il. Concernant les recrutements, nous évaluerons les moyens humains à mettre en oeuvre lorsque la politique et les processus à déployer auront été définis. »
Boom dans le conseil
Du côté des prestataires, les effets du RGPD se font davantage sentir. « Nous avons accru nos ressources dans les trois grands départements qui travaillent sur le sujet, confirme Olivier Henry chez EY. Dans la partie juridique, trois avocats ont été recrutés spécifiquement pour le RGPD. L'équipe cybersécurité et data est, elle, passée de 25 à 30 professionnels, et mon département IT a embauché 10 nouveaux experts. Ces 15 arrivants ne sont pas dédiés au RGPD mais ont aussi vocation à intervenir sur ces missions. » En septembre, Nicolas Ochoa, 36 ans, a été recruté par Deloitte comme consultant senior en droit des données personnelles. « Après mon diplôme de Sciences Po Toulouse, j'ai consacré huit ans à une thèse sur le droit de la protection des données personnelles », explique ce spécialiste plongé, ces dernières années, dans une intense activité scientifique. Il a rédigé des articles et enseigné dans des universités et écoles de commerce et d'ingénieurs. « J'ai été recruté fin 2016 par un cabinet de conseil spécialisé en protection des données personnelles et, six mois plus tard, un chasseur de têtes m'a proposé le poste que j'occupe aujourd'hui chez Deloitte. » Le RGPD le mobilise à plein temps. « Mon rôle consiste à organiser et faciliter l'avancement de projets très complexes qui nécessitent parfois de déployer des outils additionnels dans les SI, confie-t-il. Mon travail implique aussi de sensibiliser les entreprises qui ne perçoivent pas toujours clairement les enjeux induits par le RGPD. »
En tant que CIL, Philippe Salaün consacre quant à lui 80 % de son temps à ce règlement. « Au rythme de quatre réunions par jour, j'anime tous les chantiers et sous-chantiers qui vont déboucher sur la définition d'une nouvelle politique en matière de protection des données personnelles, dit-il. Je dois aussi m'assurer que tout ce qui est fait est cohérent, et en phase avec la feuille de route qui doit nous conduire à être conforme d'ici à la date butoir, tout en veillant à ce que nos sous-traitants appliquent cette politique. » Pour animer ce chantier titanesque, mieux vaut être organisé et rigoureux. « Le RGPD implique de traiter de nombreux points, raconte Nicolas Ochoa. Il faut prioriser les actions et faire preuve de beaucoup de pédagogie car on a face à soi des experts du marketing, des RH, du service client à qui il faut traduire le plus simplement le règlement et ses exigences. » L'ampleur de la tâche est telle que la plupart des établissements financiers ne devraient pas être totalement prêts le « jour J ». « Les clients ont identifié les impacts, les processus à modifier et les outils technologiques qui vont leur permettre d'opérer cette bascule, mais les actions de remédiation sont lourdes à mettre en oeuvre, avertit Olivier Henry. A l'entrée en vigueur du RGPD, la majorité des banques et des sociétés d'assurances montreront avant tout qu'elles ont initié une démarche et défini la stratégie qui leur permettra d'atteindre la conformité dans des délais raisonnables. » Rendez-vous donc le 25 mai prochain.
DATE-CHARGEMENT: 23 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 L'AGEFI
Tous droits réservés
330 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Jeudi 9 Novembre 2017
"Outre le RGPD et la loi de santé, nous attendons aussi la loi Informatique et Liberté II"
AUTEUR: Alain Clapaud
RUBRIQUE: INTERVIEW; Santé
LONGUEUR: 977 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, la DPO du groupement d'intérêt public SIB à Rennes évoque les contours de son métier et ses tâches au quotidien.
Spécialisé dans les prestations informatiques auprès des établissements de santé, le GIP SIB est un établissement public de coopération hospitalière basé à Rennes et qui compte 230 employés. Il s'agit de la première structure publique a avoir été agréée pour l'hébergement de données de santé à caractère personnel. Le GIP SIB est également tiers-archiveur agréé et certifié ISO9001 pour l'ensemble de ses services.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation du SIB et de quelle direction dépendez-vous ? Blandine Bellon est DPO du groupement d'intérêt public SIB. © SIB
Blandine Bellon (SIB). Mon parcours débute par des études en droit privé. J'ai très vite souhaité acquérir une double compétence droit public/droit privé, si bien qu'après un DEA de droit des affaires, j'ai suivi un Master de droit public. J'aime avoir une approche pratique et tirer profit de cette double compétence, notamment dans un GIP tel que le SIB. J'y ai pris les fonctions de juriste en 2012, assumant également les responsabilités du CIL, rattaché à la direction générale. Puis ma veille réglementaire m'a très tôt poussée à m'intéresser à la fonction de DPO. C'est la raison pour laquelle j'ai rejoint en janvier dernier la première promotion du diplôme universitaire de DPO délivrée par l'Université d'Assas. Les échanges avec les étudiants et l'interactivité avec les intervenants sont passionnants, j'y apprends beaucoup.
Quels sont les principaux enjeux de votre action au sein du SIB ?
En tant qu'hébergeur de données de santé à caractère personnel, nous sommes déjà très avancés sur le plan de la protection des données. Le SIB a été la première structure publique à être agréée par le ministère de la Santé. Un travail conjoint avec notre médecin hébergeur et notre RSSI facilite cette mission, la protection des données personnelles fait partie intégrante de l'ADN du SIB.
Pour résumer, nous menons deux types d'actions. Il y a d'une part des actions de mise en conformité interne qui découlent de notre cartographie des traitements. En parallèle, il faut souligner qu'en notre qualité de sous-traitant, le respect de la réglementation vis-à-vis des données qui nous sont confiées par nos clients est une priorité absolue. Nous avons un double enjeu de mise en conformité des données en tant que responsable de traitement, mais aussi en notre qualité de sous-traitant.
Quelles premières mesures avez-vous prises à votre arrivée ?
Outre la documentation juridique relative au respect des grands principes de la protection des données qui découle de la cartographie des traitements, j'ai organisé des ateliers de sensibilisation auprès des 240 salariés. Il s'agissait pour moi de les sensibiliser sur le sujet et d'expliquer l'impact du règlement européen sur la protection des données (GRPD) sur leur façon de travailler. Ces ateliers pédagogiques sont notamment relayés sur Twitter. L'objectif est qu'ils adoptent les bons réflexes dans leur métier de développeur ou d'exploitant et qu'ils pensent naturellement à appeler le DPO lors de la modification ou la création d'un traitement. Le DPO doit montrer qu'il est présent auprès des équipes et leur apporter un soutien vis-à-vis de la problématique réglementaire. Une approche pragmatique est essentielle.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action ?
"Des textes importants sont publiés à un rythme élevé ce qui oblige à mener une veille quotidienne"
Je compte poursuivre les ateliers pédagogiques et d'échanges organisés pour les salariés. En outre, une série d'articles est en préparation pour notre intranet avec comme projet de mettre en ligne à chaque début de semaine un billet relatif à la protection des données, qu'il s'agisse d'expliquer et détailler les grands principes du RGPD, d'illustrer le avant/après sur des cas concrets de nos traitements de données. J'apprécie de multiplier les médias (vidéos, podcats, ...) pour faciliter l'appréhension et la compréhension de ces sujets. Plusieurs articles ont déjà été publiés sur cet intranet mais désormais c'est un rythme hebdomadaire que je compte tenir à partir du mois de novembre. Par ailleurs, des affichages et des flyers ciblés en salles de pause sont également de bons moyens de transmettre des messages.
L'impact règlementaire sera-t-il majeur dans le domaine de la donnée de santé déjà très régulé ?
Outre le RGPD, la "loi de santé" et ses décrets d'application, nous sommes encore dans l'attente de la "loi Informatique et Liberté II". Il y a 56 renvois aux législations nationales dans le règlement dont plusieurs qui concernent la santé ou le secteur public. Le SIB sera donc concerné très directement et nous attendons la publication de cette loi pour connaître plus précisément notre périmètre d'action. Entre les guidelines du G29, les recommandations de la CNIL et cette future "LIL II", des textes importants sont publiés à un rythme élevé ce qui oblige à mener une veille quotidienne. Le droit est en construction, c'est un sujet passionnant.
Quels sont vos principaux chantiers à venir ?
Des projets vont devoir être lancés successivement afin de rester en conformité vis-à-vis de ces changements réglementaires, notamment pour nous préparer à l'échéance du mois de mai 2018. Les projets actuellement à l'étude implémentent d'ores et déjà ces changements réglementaires. Mon principal chantier reste de poursuivre et amplifier cette tâche de pédagogie au sein de l'entreprise afin que chacun connaisse les enjeux de la nouvelle réglementation et l'applique au quotidien en particulier pour l'ensemble des traitements à venir.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 9 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
331 of 500 DOCUMENTS
Le Figaro
Jeudi 9 Novembre 2017
Les annonceurs toujours remontés contre la publicité digitale;
Ils veulent de nouvelles mesures pour que le marché leur garantisse des campagnes en ligne de qualité.
AUTEUR: Braun, Elisa
RUBRIQUE: MÉDIAS; Publicité; Pg. 27 N° 22783
LONGUEUR: 563 words
PUBLICITÉ
Il n'y a pas que les internautes qui souffrent des mauvaises publicités en ligne. Les annonceurs mondiaux tapent du poing sur la table pour obtenir des espaces sûrs et bien visibles pour leurs campagnes sur Internet. Stephan Loerke, le patron du regroupement des syndicats nationaux des annonceurs, la World Federation of Advertisers (WFA), était à Paris mercredi pour faire le point sur les mesures qu'attendent les plus grands groupes mondiaux, comme L'Oréal, Coca-Cola ou Huawei. Les « dysfonctionnements liés à la croissance explosive du digital et à sa complexité qui confine presque à l'absurde » sont responsables de cette « actualité agitée », explique-t-il.
Il est en effet loin, le temps où les annonceurs chantaient sans fausse note les louanges de la publicité en ligne. La fraude massive aux mesures d'audience - qui concernerait 30 % des publicités en ligne, soit une manne de 200 milliards de dollars, selon la WFA - ou encore la mise en péril de la réputation de marques exposées aux côtés de vidéos extrémistes ou haineuses sur YouTube ont secoué le monde publicitaire. La WFA évalue aussi la fraude digitale par des robots notamment entre 10% et 30% du trafic sur les publicités. Le directeur financier de Procter & Gamble, l'un des plus grands annonceurs au monde, a annoncé en août dernier qu'il allait réduire de 41 % les budgets dédiés à la pub en ligne. En mars dernier, Havas UK a temporairement retiré les publicités de tous ses clients sur Google et YouTube, estimant que ces derniers n'avaient pas fait assez d'efforts pour assurer leurs espaces. Les annonceurs britanniques ont également pressé, via leurs syndicats, les géants du Web de leur garantir la « brand safety », c'est-à-dire la garantie de ne pas être exposés dans des environnements douteux.
Autocritique
En même temps qu'ils grognent contre les travers de la publicité en ligne, les annonceurs se livrent aussi à leur propre critique. « Il y a eu un manque d'implication, voire une irresponsabilité des annonceurs qui ont délégué le soin de leur image à des prestataires parfois indignes de confiance », concède Stephan Loerke. La WFA espère de grands changements. Il y a 18 mois, elle a rejoint la Coalition for Better Ads (Coalition pour de meilleures pubs) afin d'évaluer les publicités qui suscitaient le rejet des internautes et faisaient donc perdre de l'argent aux annonceurs. «Des bloqueurs de publicité sont installés sur près de 605 millions d'appareils dans le monde, explique Stephan Loerke, il est urgent de restaurer la confiance des consommateurs. » Douze formats, comme la fenêtre pop-up, seront bannis de tous les navigateurs Google Chrome à partir de janvier. La coalition espère que ce soutien de poids mettra l'ensemble de l'industrie au pas.
Début 2018, l'Union des annonceurs (UDA) lancera en France son label de qualité, le « digital adtrust », certifié par le Centre d'étude des supports de publicité (CESP) pour les sites les plus vertueux. Le syndicat a également lancé un grand chantier de la transparence avec les agences et les éditeurs pour épingler les intermédiaires douteux. Mais c'est surtout la régulation européenne qui produira les plus grands changements, estime l'industrie. En vue notamment, l'application en mai prochain du Règlement général pour la protection des données personnelles (RGPD) et les négociations sur la directive ePrivacy.
DATE-CHARGEMENT: 8 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
332 of 500 DOCUMENTS
Le Figaro Économie
Jeudi 9 Novembre 2017
Les annonceurs toujours remontés contre la publicité digitale
AUTEUR: Braun, Elisa
RUBRIQUE: MÉDIAS; Publicité; Pg. 27 N° 22783
LONGUEUR: 563 mots
PUBLICITÉ Il n'y a pas que les internautes qui souffrent des mauvaises publicités en ligne. Les annonceurs mondiaux tapent du poing sur la table pour obtenir des espaces sûrs et bien visibles pour leurs campagnes sur Internet. Stephan Loerke, le patron du regroupement des syndicats nationaux des annonceurs, la World Federation of Advertisers (WFA), était à Paris mercredi pour faire le point sur les mesures qu'attendent les plus grands groupes mondiaux, comme L'Oréal, Coca-Cola ou Huawei. Les « dysfonctionnements liés à la croissance explosive du digital et à sa complexité qui confine presque à l'absurde » sont responsables de cette « actualité agitée », explique-t-il.
Il est en effet loin, le temps où les annonceurs chantaient sans fausse note les louanges de la publicité en ligne. La fraude massive aux mesures d'audience - qui concernerait 30 % des publicités en ligne, soit une manne de 200 milliards de dollars, selon la WFA - ou encore la mise en péril de la réputation de marques exposées aux côtés de vidéos extrémistes ou haineuses sur You Tube ont secoué le monde publicitaire. La WFA évalue aussi la fraude digitale par des robots notamment entre 10% et 30% du trafic sur les publicités. Le directeur financier de Procter & Gamble, l'un des plus grands annonceurs au monde, a annoncé en août dernier qu'il allait réduire de 41 % les budgets dédiés à la pub en ligne. En mars dernier, Havas UK a temporairement retiré les publicités de tous ses clients sur Google et You Tube, estimant que ces derniers n'avaient pas fait assez d'efforts pour assurer leurs espaces. Les annonceurs britanniques ont également pressé, via leurs syndicats, les géants du Web de leur garantir la « brand safety », c'est-à-dire la garantie de ne pas être exposés dans des environnements douteux.
Autocritique
En même temps qu'ils grognent contre les travers de la publicité en ligne, les annonceurs se livrent aussi à leur propre critique. « Il y a eu un manque d'implication, voire une irresponsabilité des annonceurs qui ont délégué le soin de leur image à des prestataires parfois indignes de confiance », concède Stephan Loerke. La WFA espère de grands changements. Il y a 18 mois, elle a rejoint la Coalition for Better Ads (Coalition pour de meilleures pubs) afin d'évaluer les publicités qui suscitaient le rejet des internautes et faisaient donc perdre de l'argent aux annonceurs. « Des bloqueurs de publicité sont installés sur près de 605 millions d'appareils dans le monde, explique Stephan Loerke, il est urgent de restaurer la confiance des consommateurs. » Douze formats, comme la fenêtre pop-up, seront bannis de tous les navigateurs Google Chrome à partir de janvier. La coalition espère que ce soutien de poids mettra l'ensemble de l'industrie au pas.Début 2018, l'Union des annonceurs (UDA) lancera en France son label de qualité, le « digital adtrust », certifié par le Centre d'étude des supports de publicité (CESP) pour les sites les plus vertueux. Le syndicat a également lancé un grand chantier de la transparence avec les agences et les éditeurs pour épingler les intermédiaires douteux. Mais c'est surtout la régulation européenne qui produira les plus grands changements, estime l'industrie. En vue notamment, l'application en mai prochain du Règlement général pour la protection des données personnelles (RGPD) et les négociations sur la directive e Privacy.
DATE-CHARGEMENT: 8 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
333 of 500 DOCUMENTS
Les Echos.fr
jeudi 9 novembre 2017
Quand la blockchain simplifie la résiliation de contrats d'assurance
AUTEUR: LAURENT THEVENIN
RUBRIQUE: ARTICLE; Gain de temps
LONGUEUR: 581 mots
ENCART: Quatorze compagnies testent une « blockchain » inter-assureurs afin de simplifier leurs échanges dans le cadre de la loi Hamon sur les résiliations de contrats.
Les premières applications à grande échelle de la technologie « blockchain » dans l'assurance prennent forme. La Fédération française de l'assurance (FFA) a annoncé jeudi l'expérimentation par 14 compagnies d'une « blockchain inter-assureurs autour de l'échange de données sécurisées ». Cette plate-forme, montée avec la start-up Stratumn, qui développe des réseaux blockchain de place, et le cabinet Deloitte, est testée sur les processus de résiliation de contrats dans le cadre de la récente loi Hamon.
Avec cette dernière, il est désormais possible au consommateur de changer d'assureur automobile ou habitation à tout moment au bout de douze mois d'engagement. C'est le nouvel assureur qui doit effectuer la demande de résiliation pour le compte de l'assuré, sachant que la résiliation doit être effective 30 jours après la demande du client.
Gain de temps
La plate-forme présentée jeudi doit justement permettre aux assureurs de « fluidifier leurs envois de notifications de résiliation », explique Stratumn. A ce titre, la technologie blockchain - un registre informatique public et décentralisé de transactions qui permet l'exécution de contrats intelligents - apporterait, selon ses promoteurs, des avancées en termes d'horodatage et un gain de temps par rapport aux processus existants.
Cela permettrait aussi « de diviser au minimum par cinq les coûts existants », fait valoir aux « Echos » Nicolas Julia, directeur des opérations chez Stratumn. Cette plate-forme élimine ainsi les coûts liés à la « complexité de communication entre des systèmes d'information hétérogènes » et elle fait économiser l'envoi de lettres recommandées, détaille-t-il.
« Un très bon niveau de sécurité »
Avec le couplage d'une « cryptographie de pointe », cette plate-forme « garantit la confidentialité de toutes les données échangées et limite la divulgation de l'information au strict minimum nécessaire à chaque partie prenante », affirme par ailleurs Stratumn. Un point évidemment crucial avant l'entrée en vigueur, en 2018, du Règlement général de l'Union européenne sur la protection des données (RGPD).
« La technologie Blockchain semble apporter un très bon niveau de sécurité dans les échanges de données entre assureurs. Elle est bien adaptée à des cas d'usage BtoB [...], réduit le coût de traitement des dossiers et autorise une variété d'applications additionnelles », constate de son côté la FFA.
La « blockchain » en bref
Une « blockchain » est un registre informatique de transactions accessibles à tous ses participants.
Cette technologie utilise un protocole de pair à pair pour authentifier toute opération réalisée entre deux personnes.
Sa première application, en 2008, a donné naissance à la monnaie virtuelle bitcoin.
Selon Stratumn, sa plate-forme pourrait servir pour de nombreux autres cas d'usage et serait « très flexible ». Elle peut « embarquer facilement de nouveaux opérateurs », souligne Nicolas Julia.
Il s'agit d'un « moment majeur dans l'histoire de Stratumn », déclare dans un communiqué Richard Caetano, cofondateur et directeur général de cette start-up créée en 2015. L'actualité de la jeune pousse est en tout cas particulièrement riche, puisqu'elle avait annoncé la semaine dernière l'entrée à son tour de table de C. Entrepreneurs, le fonds d'investissement de BNP Paribas Cardif, dans le cadre de l'extension de son premier tour de financement. Alors qu'elle avait levé en juin 7 millions d'euros, sa levée de fonds (Series A) s'élève désormais à 8 millions d'euros.
DATE-CHARGEMENT: 27 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Les Echos
tous droits réservés
334 of 500 DOCUMENTS
Stratégies
9 novembre 2017
Edition 1;
National Edition
LA CYBERGOUVERNANCE PASSE PAR LES RH;
DIGITALLes professionnels de la sécurité numérique le reconnaissent : le facteur humain est primordial pour une bonne cybergouvernance. Cette derniÈre doit donc inclure les expertises des ressources humaines et de la communication.
AUTEUR: GILMAR SEQUEIRA MARTINS
RUBRIQUE: MANAGEMENT ACTUALITÉ; Pg. 44,45
LONGUEUR: 1194 mots
C'était le bon vieux temps. Il suffisait d'installer des antivirus, des firewall... et l'entreprise était protégée. C'est fini, constate Isabelle Marand, vice-présidente chargée de la communication corporate de Gemalto, spécialiste de la sécurité numérique : « La cybersécurité ne peut plus être cantonnée à un problÈme IT [technologies de l'information]. Il faut entrer dans une démarche plus large et préventive, avec un comité de gouvernance composé de représentants de l'IT, de la finance, du marketing, du juridique et de la communication. » Les RH ont pris la mesure du problÈme, assure Audrey Richard, porte-parole de l'Association nationale des DRH (ANDRH) : « L'interconnexion a atteint un tel degré, de même que la proximité des données professionnelles et personnelles, qu'il est devenu impossible de prévoir tous les cas de figure. Les équipes de sécurité IT doivent donc se tourner vers les ressources humaines [RH] car le facteur humain prend une importance croissante. » Le monde de la communication semble moins conscient des opportunités qu'il offre, affirme de son côté Vincent Dujardin, consultant du cabinet Alquier Communication : « Avec la transformation digitale se déroule actuellement dans les entreprises une compétition entre les fonctions, dont le but est de mieux se positionner vis-à-vis de grands enjeux et d'avoir plus de poids auprÈs de la direction générale.
La communication est absente de cette bataille alors que c'est un chantier clef de la cybergouvernance. La communication existe en tant que média, dans la gestion de crise par exemple, mais elle n'existe pas en tant que fonction. Elle s'est intéressée aux outils, aux rÈgles de bonne conduite, mais elle ne valorise pas la politique de cybergouvernance vis-à-vis de toutes les parties prenantes. » ETI ET PME HORS D'ATTEINTE. La communication peut pourtant renforcer la cybergouvernance dÈs lors que la réputation est concernée, estime Laetitia Rossille, head of corporate practice « influence & reputation » chez Ogilvy Paris : « Un communicant ne remplace pas un risk manager ou un DSI, mais il pose des questions utiles qui permettront de développer un dispositif de communication et de le mettre en oeuvre. » Se positionner en amont, sur une approche élargie, offre un autre avantage : « Le sujet cyber peut être évoqué de façon positive en se projetant dans des dimensions comme la gestion des données ou l'optimisation des produits. » TrÈs louable, cet te approche risque toutefois de manquer son objectif. Les directions de la communication ne peuvent agir que dans les limites de l'entreprise au sens juridique du terme alors que les flux de données la relient en permanence à une myriade de fournisseurs, de sous-traitants et de clients... « Dans une économie totalement interconnectée, le grand est dépendant du petit pour Avis d'expert Quand les pros du cyber font appel à la com PIERRE CALAIS CEO chez Stormshield Chez Stormshield, la filiale d'Airbus Defence and Space spécialisée dans la sécurité des infrastructures digitales, la cybergouvernance est déjà une réalité : « Les ressources humaines et les directions de la communication doivent mettre en lumiÈre la problématique de la cybersécurité au sein de leur entreprise et mener des actions auprÈs des collaborateurs. Pour exemple, chez Stormshield, nous avons fait appel à des experts publics de la cybersécurité afin de sensibiliser nos collaborateurs. Tous nos collaborateurs ne sont pas des spécialistes dans ce domaine. Cet échange avec des experts dont la mission est de traquer les cyberattaques au niveau national leur a permis de mieux comprendre les conséquences de ces attaques, et non pas d'aborder la cybersécurité sous un aspect technique. » la cybersécurité, rappelle Pierre Calais, CEO de Stormshield, la filiale d'Airbus Defence and Space, spécialisée dans la sécurité des infrastructures digitales. Communiquer uniquement dans les grandes entreprises ne suffit plus. Les directions de la communication vont devoir également travailler avec les ETI et PME fournisseurs pour sensibiliser l'ensemble de leur écosystÈme et garantir leur protection. » LE RGPD, UN DÉCLIC ? Le rôle des RH en amont est tout aussi essentiel. « Ils ont une connaissance des pratiques des utilisateurs qui peut contribuer à éclairer la conception d'une politique de cybergouvernance, précise Pascal Junghans, directeur de projet chargé de l'activité prospective d'Entreprise & Personnel. Ils ont un rôle à jouer dans la sensibilisation et la construction des réponses, qui doivent prendre en compte les collaborateurs, mais aussi la réglementation, voire les dispositions des conventions collectives. » La contribution des RH peut s'étendre à d'autres domaines, ajoute Audrey Richard : « Ils peuvent aider le SI [service informatique] à trouver les bons profils pour des missions de cybersécurité, nouer les contacts avec les meilleures écoles et proposer à ses collaborateurs des parcours d'expertise motivants. Ils peuvent aussi contribuer à la mise en place des mesures de prévention, déterminer quelle data est sensible et quelles personnes la détiennent : les financiers, les juristes, etc. » Le chemin promet cependant d'être long, selon Vincent Dujardin : « Le risque cyber reste encore un sujet DSI. Au point que certaines DSI dans les grandes entreprises ont un budget com propre pour communiquer sur ces sujets. » Isabelle Marand déplore de son côté une faible mobilisation : « Nous constatons malheureusement que les entreprises "premiÈres de la classe", qui confient aux RH et à la communication un rôle d'information et de formation aux bonnes pratiques, sont trÈs rares. Dans le monde anglo-saxon, les entreprises sont plus proactives. » L'application, dÈs mai 2018, du rÈglement européen sur la protection des données [RGPD] pourrait faire évoluer la situation rapidement. Il prévoit en effet de lourdes sanctions (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial) pour les entreprises n'ayant pas pris toutes les mesures assurant la protection des données. .
mouvements AVEC ADWANTED GROUP. Damien de Foucault est nommé directeur général France. Il était jusque-là directeur du développement digital et commercial EMEA de Kantar Media.
AUDIENCE+. David Chapon est nommé directeur général adjoint de cette société spécialiste de la gestion de la relation client sur mobile. Depuis 2015, il était directeur digital de Sony Mobile.
ISOBAR. Ivan Pejcic, ex-Ogilvy & Mather, et Alex Hardouin, ex-J. Walter Thompson, sont nommés planneurs stratégiques senior.
MARKETO. Sarah Kennedy est nommée au poste de chief marketing officer. Elle était vice-president, global marketing & managing director digital experience chez Sabre Corporation. Matthew Zilli est promu, de son côté, chief customer officer.
MARRIOTT INTERNATIONAL.Jenni Benzaquen, ex-Starwood Hotels & Resorts, est nommée vice-présidente des « marques de luxe » pour le marché européen. Elle est responsable des huit « marques de luxe » du groupe (Ritz-Carlton, Bulgari Hotels...).
TBWA CORPORATE.Clara Bufi et Valentine Bourguignon sont promues directrices de clientÈle. POUR DIFFUSER MA NOMINATION : CARNETSTRATEGIES@NOMINATION.FR
DATE-CHARGEMENT: November 9, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: © Gilles Rapaport pour Stratégies
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
335 of 500 DOCUMENTS
Economie Matin
8 novembre 2017 04:00 AM GMT
Le défi de l'authentification forte dans le secteur bancaire
LONGUEUR: 1247 mots
La révolution numérique touche pratiquement tous les secteurs d'activité. Les services financiers ne font pas exception à la règle obligeant les autorités, tant nationales qu'européennes, à légiférer afin d'encadrer la numérisation des services financiers. L'Union Européenne a récemment promulgué le Règlement Général sur la Protection des Données (RGPD) qui touche plusieurs secteurs. Le secteur des services financiers se prépare, lui, à l'application de la deuxième Directive sur les Services de Paiement (DSP2), votée en 2015 par le Parlement européen et actuellement en cours de transposition par les Etats membres. Cette directive entrera en vigueur dans la plupart des Etats de l'Union européenne dès le début de l'année 2018. L'une des principales nouveautés de la DSP2 est l'obligation de mise en oeuvre d'une authentification forte du client afin d'améliorer la sécurité des transactions. Cette directive est loin d'avoir reçu un accueil favorable unanime.
En effet, certains opérateurs de paiement peinent encore à mettre en place ces mesures additionnelles de mise en conformité. Mais comment les banques doivent-elles se conformer à ces normes ? Principalement en utilisant au moins deux des trois éléments suivants pour authentifier leurs clients : - Quelque chose qu'ils possèdent (une carte de crédit) - Quelque chose qu'ils connaissent (un mot de passe ou un code PIN) - Quelque chose qui les identifie (les empreintes digitales, le visage, la voix) Aujourd'hui, la combinaison la plus couramment utilisée regroupe les deux premiers facteurs. Mais avec l'utilisation croissante des appareils mobiles pour les transactions bancaires, la biométrie (reconnaissance faciale, vocale ou encore comportementale) est vouée à prendre de plus en plus d'importance. Nombreux sont les smartphones qui intègrent aujourd'hui des fonctions de reconnaissance d'empreintes digitales et de reconnaissance faciale. Comment la réglementation peut-elle être bénéfique aux banques ? Les réglementations, telles que la directive DSP2, sont indispensables pour maintenir les avancées technologiques du monde numérique et les besoins de sécurité qui en découlent. Depuis la première directive sur les services de paiement en 2007, la sécurité s'est améliorée pour les institutions financières - comme le démontre le rapport annuel Breach Level Index qui analyse les incidents de violation de données dans divers secteurs économiques. Dans le secteur des services financiers, le nombre d'incidents de violation diminue depuis plusieurs années. En 2016, ce secteur comptabilisait seulement 1 % de pertes de données. Même si les cybercriminels sont de toute évidence attirés par les précieuses informations détenues par les banques, le secteur a fait ses preuves en mettant en oeuvre des mesures de sécurité qui ont permis de réduire le nombre d'incidents. Agrave; l'heure actuelle, la mise en oeuvre technique de l'authentification forte du client n'est qu'un des aspects d'un plus grand défi à relever en matière de sécurité. Pour réussir, les banques et autres fournisseurs de services financiers doivent s'assurer que les utilisateurs bénéficient de l'amélioration des mécanismes de protection. Une récente enquête a analysé l'importance de la protection des données et de la facilité d'utilisation lors de la sélection d'un service de paiement. Des utilisateurs finaux en Australie, au Benelux, en France, en Allemagne, en Russie, aux Emirats Arabes Unis, en Arabie Saoudite, en Inde, au Japon, au Royaume-Uni et aux Etats-Unis ont été invités à partager leurs expériences et leurs attentes. Les résultats de cette enquête ont montré l'importance de la sécurité pour les consommateurs. En effet, 58 % des sondés s'attendent à subir un vol de données dans le futur. A titre d'exemple, si les données dérobées étaient détenues par une enseigne en ligne, 60 % des interrogés arrêteraient d'effectuer leurs achats sur ce site marchand - principalement pour sanctionner le manque de sécurité. Ce pourcentage passe à 66 % pour les entreprises subissant un vol d'informations financières ou d'autres données sensibles. Bien que les réglementations se soient attachées depuis longtemps à protéger les consommateurs, les nouvelles technologies offrent de nouvelles possibilités d'attaques, les cybercriminels sont de mieux en mieux organisés, et le secteur des services financiers se doit de toujours garder une longueur d'avance. Prêts pour cette nouvelle ère bancaire ? Les défis à relever pour mettre en oeuvre une authentification forte pour les clients sont considérables car ils impliquent de nombreux acteurs et diverses procédures. Les technologies et processus sélectionnés doivent se conformer aux normes établies, tout en respectant les attentes des utilisateurs. Outre les enjeux de conformité, les facteurs psychologiques doivent également être pris en compte. En effet, les institutions politiques ne sont pas les seules à réclamer davantage de sécurité : les consommateurs estiment que les fournisseurs de services ont aussi une obligation dans ce domaine. Selon l'enquête consommateur mentionnée précédemment, les utilisateurs pensent que la sécurité relève à 70 % de la responsabilité des entreprises, et seulement à 30 % des utilisateurs. Mais les consommateurs ne souhaitent pas seulement bénéficier de plus de sécurité : ils veulent aussi un plus grand confort d'utilisation. Si la sécurité doit les ralentir, ils abandonneront tout simplement leur panier d'achat virtuel, ce qui aurait pour conséquence une baisse de satisfaction des consommateurs, des commerçants, et des opérateurs de paiement. Pour relever les défis liés aux nouvelles technologies, aux exigences de conformité et aux demandes des utilisateurs en matière de sécurité et de commodité, les entreprises doivent se doter de partenaires pouvant leur apporter un savoir-faire en authentification et vérification. Ces systèmes sont d'une grande complexité et nécessitent des compétences spécifiques pour garantir la conformité aux normes et améliorer la qualité des services, tout en trouvant un équilibre parfait entre sécurité et commodité. Comment bénéficier de la création de valeur ? L'Union européenne a clairement indiqué son souhait d'ouvrir le marché des services financiers à de nouveaux acteurs. Bien que les banques puissent se sentir menacées par cette déclaration, elles peuvent jouer sur la demande accrue de sécurité et faire basculer le rapport de force en leur faveur. Pour ce faire, elles doivent pouvoir proposer des solutions de sécurité répondant à la fois aux attentes des utilisateurs et du législateur. Les fournisseurs de services de paiement doivent développer des méthodes d'authentification protégeant les utilisateurs, tout en autorisant de nouveaux usages. Grâce à leurs bases de clients existants, ils bénéficient d'un avantage pour se positionner dans le cadre de cette révolution numérique. Mais, ils doivent faire preuve de la plus grande prudence lors de la gestion des différentes tâches, telles que la sécurité et la certification, qui leur garantiront une adoption rapide de leurs services. Un simple faux pas pourrait ruiner tous leurs efforts. C'est la raison pour laquelle, l'authentification forte du client représente bien plus qu'un enjeu technologique ou légal. C'est un élément essentiel à la sécurité : une sécurité qui offrira aux banques de nouvelles perspectives, et qui leur permettra d'innover et de bénéficier de la création de valeur.
DATE-CHARGEMENT: 10 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
336 of 500 DOCUMENTS
Le Figaro Online
mercredi 8 novembre 2017 08:06 PM GMT
Les annonceurs toujours remontés contre la publicité digitale
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: MÉDIAS; Actu-Eco; Médias & Publicité
LONGUEUR: 559 mots
ENCART: Ils veulent de nouvelles mesures pour que le marché leur garantisse des campagnes en ligne de qualité.
Il n'y a pas que les internautes qui souffrent des mauvaises publicités en ligne. Les annonceurs mondiaux tapent du poing sur la table pour obtenir des espaces sûrs et bien visibles pour leurs campagnes sur Internet. Stephan Loerke, le patron du regroupement des syndicats nationaux des annonceurs, la World Federation of Advertisers (WFA), était à Paris mercredi pour faire le point sur les mesures qu'attendent les plus grands groupes mondiaux, comme L'Oréal, Coca-Cola ou Huawei. Les «dysfonctionnements liés à la croissance explosive du digital et à sa complexité qui confine presque à l'absurde» sont responsables de cette «actualité agitée», explique-t-il.
Il est en effet loin, le temps où les annonceurs chantaient sans fausse note les louanges de la publicité en ligne. La fraude massive aux mesures d'audience - qui concernerait 30 % des publicités en ligne, soit une manne de 200 milliards de dollars, selon la WFA - ou encore la mise en péril de la réputation de marques exposées aux côtés de vidéos extrémistes ou haineuses sur YouTube ont secoué le monde publicitaire. La WFA évalue aussi la fraude digitale par des robots notamment entre 10% et 30% du trafic sur les publicités. Le directeur financier de Procter & Gamble, l'un des plus grands annonceurs au monde, a annoncé en août dernier qu'il allait réduire de 41 % les budgets dédiés à la pub en ligne. En mars dernier, Havas UK a temporairement retiré les publicités de tous ses clients sur Google et YouTube, estimant que ces derniers n'avaient pas fait assez d'efforts pour assurer leurs espaces. Les annonceurs britanniques ont également pressé, via leurs syndicats, les géants du Web de leur garantir la «brand safety», c'est-à-dire la garantie de ne pas être exposés dans des environnements douteux.
Autocritique
En même temps qu'ils grognent contre les travers de la publicité en ligne, les annonceurs se livrent aussi à leur propre critique. «Il y a eu un manque d'implication, voire une irresponsabilité des annonceurs qui ont délégué le soin de leur image à des prestataires parfois indignes de confiance», concède Stephan Loerke. La WFA espère de grands changements. Il y a 18 mois, elle a rejoint la Coalition for Better Ads (Coalition pour de meilleures pubs) afin d'évaluer les publicités qui suscitaient le rejet des internautes et faisaient donc perdre de l'argent aux annonceurs. «Des bloqueurs de publicité sont installés sur près de 605 millions d'appareils dans le monde, explique Stephan Loerke, il est urgent de restaurer la confiance des consommateurs.» Douze formats, comme la fenêtre pop-up, seront bannis de tous les navigateurs Google Chrome à partir de janvier. La coalition espère que ce soutien de poids mettra l'ensemble de l'industrie au pas.
Début 2018, l'Union des annonceurs (UDA) lancera en France son label de qualité, le «digital adtrust», certifié par le Centre d'étude des supports de publicité (CESP) pour les sites les plus vertueux. Le syndicat a également lancé un grand chantier de la transparence avec les agences et les éditeurs pour épingler les intermédiaires douteux. Mais c'est surtout la régulation européenne qui produira les plus grands changements, estime l'industrie. En vue notamment, l'application en mai prochain du Règlement général pour la protection des données personnelles (RGPD) et les négociations sur la directive ePrivacy.
DATE-CHARGEMENT: 8 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
337 of 500 DOCUMENTS
Le Monde
8 novembre 2017 mercredi
Face aux technologies, Europe et Etats-Unis n'ont pas les mêmes scrupules
AUTEUR: par Alexis Normand
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 7
LONGUEUR: 948 words
ENCART: Faute de savoir monétiser les données, les industries innovantes du Vieux Continent pourront-elles rattraper leur retard sur les GAFA sans perdre leur âme ?
Comme beaucoup de Français installés aux Etats-Unis, j'y ai découvert avec stupeur qu'il est impossible d'échapper au traçage des aspects intimes de sa vie. Pour acheter une voiture, louer une maison ou prendre une assurance, les intérêts peuvent varier du simple au double selon un historique méticuleusement compilé. Le " scoring " ne sert pas tant à restreindre la dépense qu'à débrider le crédit. Max Weber a bien montré cette affinité entre protes-tantisme, transparence et esprit du -capitalisme - un bon protestant n'a rien à cacher. Pour l'apôtre des objets connec-tés que je suis, la mesure de soi est un choix libre. Ma balance connectée m'alerte de mes piques de rigidité artérielle. Mon enceinte Alexa est à l'écoute de mes désirs musicaux. Mon aspirateur connecté modélise mon logement... Ce suivi, souvent vu comme une contrainte, est la condition de nouvelles libertés.
La monétisation assumée de la transparence est le moteur de la ré-vo-lution numérique. Eric Schmidt, le PDG de Google, s'est défendu du caractère intrusif de ses services : " Si vous ne voulez pas que ça se -sache, sans doute ne devriez-vous pas le faire. " La transparence crée une -confiance propice à l'échange et ouvre de nouvelles places de marché ; je ne loue ma maison sur Airbnb qu'aux locataires recommandés, je ne roule qu'avec un chauffeur bien noté sur Uber...
La différence de sensibilité entre les Etats-Unis et l'Europe se mue en affrontement économique. D'un côté, le Vieux Continent se révèle incapable de faire croître des champions numériques. Faute de savoir moné-tiser les données à la source, nos gouvernants tentent de taxer en aval les GAFA (Google, Apple, Facebook, Amazon). Les Etats-Unis, eux, se montrent incapables d'éviter les abus de confian-ce. Dernier scandale en da-te, Equifax, une des principales agences de notation de crédit, s'est fait pirater les données de 145 millions d'Américains. La société, informée dès juillet, n'a reconnu les faits qu'en octobre. Plus grave, Facebook a reconnu que des -pirates russes avaient pu financer massivement des publicités ciblées en faveur de la campagne Trump, sans contrôle sur l'origine étrangère des fonds... Etonnamment, ces scandales suscitent peu de réactions lé-gislatives aux Etats-Unis, où il n'est pas question de remettre en cause la suprématie des GAFA.
concurrence plus loyale
A l'inverse, l'Europe prend le taureau par les cornes. Le règlement général sur la protection des données (RGPD), qui entre en vigueur en 2018, impose de nouvelles obligations aux plates-formes. Pour éviter les recueils abusifs, il généralise le consentement " clair et explicite " et impose un principe de proportionnalité, obligeant les plates-formes à se limiter à la collecte d'informations nécessaires au service. Il rend obligatoire le " droit à l'oubli ", permettant de faire effacer toute information personnelle. Les entreprises devront fournir un registre complet des trai-tements de données, surcoût procé-durier significatif pour les start-up qui éparpillent l'information. Les sanctions, dissuasives, pourront aller jusqu'à 4 % du chiffre d'affaires, extension considérable par rapport aux 150 000 euros de la Commission nationale informatique et liberté.
Depuis les Etats-Unis, ce nouveau -cadre est vu comme un affront à l'intelligence... artificielle. En effet, le recueil du consentement représente une attrition pour les bases de données qui nourrissent l'apprentissage itératif des solutions dites de machine learning. Ces logiciels se distinguent par leur capacité à prendre des décisions. Or le RGPD donne au citoyen un contrôle sur le " profilage par algorithmes ", c'est-à-dire toute décision prise sur la base d'un profil. Elon Musk - PDG de SpaceX et Tesla - a souligné l'incertitude juridique qui pèse sur les développements les plus ambitieux. Ainsi, les voitures autonomes décideront pour nous de la meilleure façon d'éviter un accident. En santé connectée, le coeur artificiel de Carmat préserve les fonctions vitales d'un individu en rééquilibrant automatiquement les paramètres... Jusqu'où une machine devra-t-elle justifier ses " raisonnements " ?
Parions que la bataille ne fait que commencer, alors que les progrès de l'intelligence artificielle augmentent les enjeux. Grâce à l'expertise -acquise par les données, Google vient d'annoncer le lancement d'écouteurs qui traduisent 40 langues en instantané ! Ces technologies spectaculaires s'appliquent en santé. Aux Etats-Unis, l'initiative pour la " médecine de précision ", à laquelle Obama a -alloué 215 millions de dollars en 2015, repose sur la numérisation sans entraves. Des gènes au suivi des signes vitaux par le biais de capteurs, elle postule que l'analyse des données permettra de mieux détecter les maladies et de cibler les thérapies. Pendant ce temps, les silos imposés en Europe, notamment sur le séquençage ADN, menacent de la faire passer à côté de cette révolution.
L'Europe peut-elle rattraper son retard sans perdre son âme ? La protection des libertés ne doit pas être sacrifiée, même au nom de la concurrence. Il faut donc redoubler d'efforts. A la différence des Etats-Unis, la centra-lisation des systèmes, notamment dans le domaine de la santé, ouvre une voie si les acteurs publics se pensent eux-mêmes com-me plate-forme. De même, certains nouveaux droits peuvent être l'occasion d'une concurrence plus loyale, comme la portabilité, qui permettra de télécharger et de transférer ses données d'une plate-forme à l'autre, comme on change d'opérateur téléphonique. Cela manque aux Etats-Unis. Mais ce qu'il manque à l'Europe, c'est la capacité qu'ont les Etats-Unis à associer toute contrain-te nouvelle à un soutien massif à l'investissement.
DATE-CHARGEMENT: 7 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Monde Interactif
Tous Droits Réservés
338 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mardi 7 Novembre 2017
"Je consacre 40% de mon temps au RGPD"
AUTEUR: Xavier Biseul
RUBRIQUE: INTERVIEW; Industrie
LONGUEUR: 1368 mots
ENCART: Alors que la Nuit du Data Protection Officer se rapproche, le DPO d'Airbus Helicopters présente au JDN les contours de son poste et ses projets.
JDN. Quel est votre parcours, pourquoi avoir choisi d'être DPO ? Quelle est votre place dans l'organisation d'Airbus Helicopters et de quelle direction dépendez-vous Eddy Alberto est le DPO d'Airbus Helicopters © Airbus Helicopters
Eddy Alberto (Airbus Helicopters) . Juriste de formation, je suis diplômé de l'université de droit d'Aix-en-Provence et titulaire d'un troisième cycle de défense et de sécurité de l'université de Toulon-Var. J'ai débuté ma carrière professionnelle comme consultant au sein d'Eurisys Consulting (Cogema), un cabinet de conseil dans l'organisation et la maîtrise des risques pour le secteur nucléaire.
En 1998, j'ai rejoint la direction juridique d'Eurocopter, qui allait devenir Airbus Helicopters, où j'étais en charge de la négociation de contrats. Puis, j'ai intégré la direction commerciale pour conduire des projets d'innovation et de "business development", avant de devenir, en 2014, correspondant Informatique & Libertés, une fonction rebaptisée DPO au sein du groupe. J'ai cumulé cette fonction avec celle de responsable du programme éthique et conformité.
Depuis juin, j'assure la fonction de DPO à plein temps afin de répondre à la transformation digitale du groupe Airbus ainsi qu'aux exigences du RGPD. A ce titre, je suis responsable de la protection des données personnelles chez Airbus Helicopters, en France comme à l'étranger. L'entreprise gère des données personnelles concernant ses employés, ses clients et ses fournisseurs. Soit quelque 70 traitements dont une quinzaine pour la partie RH.
Airbus a une organisation matricielle avec des responsables de la protection des données personnelles par activité : les avions de ligne, les hélicoptères, l'aérospatial et la défense. Je rapporte au DPO du groupe Airbus et dépends du département RH. Au sein d'Airbus Helicopters, je m'appuie à la fois sur les DPO nationaux et un réseau d'une quinzaine de correspondants au sein des principaux métiers (ventes, achats...), nommés " data protection representatives ".
Quels sont les principaux enjeux de votre action au sein d'Airbus Helicopters
"Nous sommes dans un processus d'amélioration permanente"
Les enjeux sont multiples. Avec la transformation numérique engagée, Airbus est à un tournant de son histoire. Le mouvement est inéluctable. Le digital va changer notre façon d'appréhender notre activité d'industriel, de gérer notre relation avec les fournisseurs, les clients. Il s'agit d'accompagner ces changements en garantissant la conformité des traitements de données personnelles. Cela suppose la mise en place de directives et de procédures ainsi que d'une gouvernance des données afin de s'assurer qu'elles sont appliquées.
Nous sommes dans un processus d'amélioration permanente. Des indicateurs permettent de mesurer l'exposition au risque et d'évaluer l'écart afin d'atteindre les standards exigés par la réglementation. Les "data protection representatives" nous remontent du terrain les projets en cours. De notre côté, nous les conseillons pour cadrer les usages et lutter contre le "shadow IT". L'objectif est de tendre vers une vue exhaustive de tous les traitements.
Airbus Helicopters ne part pas de zéro. Nous tenons depuis longtemps un registre des traitements qui représente, en quelque sorte, le code source de la protection des données personnelles. Ce registre évolue avec le temps.
Quelles premières mesures avez-vous prises à votre arrivée
"Il faut aménager la possibilité de conduire des audits réguliers chez ses fournisseurs"
A mon arrivée, j'ai procédé à un état des lieux et suivi une formation auprès de la Cnil. J'ai pu bénéficier des actions prises par mon prédécesseur comme la mise en place de la tenue du registre et du réseau de relais. Afin de faire connaître la fonction de DPO, j'ai rencontré le top management des départements IT, RH, ventes, marketing et achats. Ces managers ont identifié quels collaborateurs dans leurs équipes étaient particulièrement exposés aux risques et devaient faire l'objet d'une formation. Il a aussi fallu avec ces métiers s'interroger sur le caractère ou non sensible des traitements puis mettre en place les processus assurant leur conformité.
Les sous-traitants sont également concernés. La fonction achats doit veiller à ce qu'ils respectent les exigences de conformité. Le RGPD nécessite d'ajuster ou d'intégrer des clauses et des annexes aux contrats. Il s'agit, par ailleurs, d'aménager la possibilité de conduire des audits réguliers chez ses fournisseurs afin de vérifier la bonne exécution des mesures de protection et de sauvegarde des données.
Comment communiquez-vous en interne pour sensibiliser et informer sur votre action
Au-delà de la communication informelle que j'évoquais, j'ai utilisé les canaux spécifiques de la communication institutionnelle (intranet, TV interne, newsletter...). Chaque année, je profite du " data privacy day " pour promouvoir la fonction.
En ce qui concerne la sensibilisation des personnes exposées au risque, elle mixe formation physique et à distance. Par petits groupes, elles suivent 2 à 3 heures de formation en présentiel, complétée par des modules d'e-learning qui diffèrent selon leur activité. Ce cursus leur confère un vernis suffisamment épais pour ne pas se mettre en défaut avec la réglementation.
Pas besoin de motiver les apprenants. Tous les employés se sentent concernés par la protection des données détenues par leur entreprise. Le sujet fait la une de tous les médias. La "data privacy" est aussi évoquée durant dix minutes dans le parcours intégration que suit chaque nouvelle recrue. Enfin, j'interviens dans la "business academy", l'académie interne du groupe.
Quel est votre état d'avancement en ce qui concerne le projet de mise en conformité au RGPD
"La mission du DPO ne s'arrêtera pas en mai 2018"
Notre objectif est d'être totalement conforme à la date du 25 mai 2018. Nous n'avons pas découvert le texte une fois voté. Cela fait des années que nous suivons les avancées des travaux européens. Par ailleurs, des procédures étaient déjà posées et un registre tenu. Il nous faut compléter le dispositif pour tenir compte des obligations accrues qu'introduit le RGDP. Le règlement européen est un enjeu d'entreprise au regard du niveau de sanctions prévues, sans parler de l'impact d'une fuite de données sur la réputation de l'entreprise.
Je vois davantage ce règlement comme une opportunité. Sur la forme, il simplifie la mise en ½uvre des obligations en offrant un cadre juridique homogène pour l'ensemble des Etats-membres de l'Union européenne. Nous avons des sociétés en France, en Espagne ou en Allemagne et chacune d'elles doit se conformer au droit national. Demain, nous aurons le même langage et le même référentiel.
Sur le fond, les exigences sont plus importantes. Le RGPD nécessite de réaliser des études d'impacts préalables à chaque traitement sensible, d'instaurer les principes de "privacy by default" et de "privacy by design", de revoir les procédures... Tout ce dispositif ne peut être qu'un vecteur d'amélioration de nos produits et services. La bonne gestion des données personnelles renforce le sentiment de confiance que nos employés, fournisseurs et clients placent en Airbus Helicopters. Le RGPD peut être même perçu comme un avantage concurrentiel.
Quels sont vos principaux chantiers à venir
Le chantier numéro un, c'est bien sûr la conformité au RGPD. J'y consacre 40 % de mon temps. La mission du DPO ne s'arrêtera toutefois pas en mai 2018. Il faudra ensuite garder ce niveau exigence et être en capacité de démontrer à tout moment notre conformité (accountability). Cela passe par le suivi d'indicateurs afin de nous évaluer en permanence.
Il s'agira aussi d'assurer une veille sur le RGPD. La jurisprudence éclairera certaines zones d'ombre, précisera des points faisant l'objet d'interprétations. Airbus Helicopters a la chance d'entamer sa révolution numérique en même temps que la mise en place du RGPD. Il est préférable d'avoir un règlement au moment où on doit l'appliquer.
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
DATE-CHARGEMENT: 7 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
339 of 500 DOCUMENTS
Le Monde.fr
Mardi 7 Novembre 2017
Nouvelles technologies : «L'Europe peut-elle rattraper son retard sans perdre son âme ?»
LONGUEUR: 1044 words
Tribune. Comme beaucoup de Français installés aux Etats-Unis, j'y ai découvert avec stupeur qu'il est impossible d'échapper au traçage des aspects intimes de sa vie. Pour acheter une voiture, louer une maison ou prendre une assurance, les intérêts peuvent varier du simple au double selon un historique méticuleusement compilé. Le «scoring» ne sert pas tant à restreindre la dépense qu'à débrider le crédit. Max Weber a bien montré cette affinité entre protestantisme, transparence et esprit du capitalisme - un bon protestant n'a rien à cacher.
La monétisation assumée de latransparence estlemoteur delarévolution numérique
Pour l'apôtre des objets connectés que je suis, la mesure de soi est un choix libre. Ma balance connectée m'alerte de mes piques de rigidité artérielle. Mon enceinte Alexa est à l'écoute de mes désirs musicaux. Mon aspirateur connecté modélise mon logement... Ce suivi, souvent vu comme une contrainte, est la condition de nouvelles libertés.
La monétisation assumée de la transparence est le moteur de la révolution numérique. Eric Schmidt, le PDG de Google, s'est défendu du caractère intrusif de ses services: «Si vous ne voulez pas que ça se sache, sans doute ne devriez-vous pas le faire.» La transparence crée une confiance propice à l'échange et ouvre de nouvelles places de marché; je ne loue ma maison sur Airbnb qu'aux locataires recommandés, je ne roule qu'avec un chauffeur bien noté sur Uber...
«Le droit à l'oubli»
La différence de sensibilité entre les Etats-Unis et l'Europe se mue en affrontement économique. D'un côté, le Vieux Continent se révèle incapable de faire croître des champions numériques. Faute de savoir monétiser les données à la source, nos gouvernants tentent de taxer en aval les GAFA (Google, Apple, Facebook, Amazon). Les Etats-Unis, eux, se montrent incapables d'éviter les abus de confiance.
Etonnamment, ces scandales suscitent peu deréactions législatives auxétats-Unis
Dernier scandale en date, Equifax, une des principales agences de notation de crédit, s'est fait pirater les données de 145millions d'Américains. La société, informée dès juillet, n'a reconnu les faits qu'en octobre. Plus grave, Facebook a reconnu que des pirates russes avaient pu financer massivement des publicités ciblées en faveur de la campagne Trump, sans contrôle sur l'origine étrangère des fonds... Etonnamment, ces scandales suscitent peu de réactions législatives aux Etats-Unis, où il n'est pas question de remettre en cause la suprématie des GAFA.
A l'inverse, l'Europe prend le taureau par les cornes. Le règlement général sur la protection des données (RGPD), qui entre en vigueur en2018, impose de nouvelles obligations aux plates-formes. Pour éviter les recueils abusifs, il généralise le consentement «clair et explicite» et impose un principe de proportionnalité, obligeant les plates-formes à se limiter à la collecte d'informations nécessaires au service. Il rend obligatoire le «droit à l'oubli», permettant de faire effacer toute information personnelle.
Incertitudes juridiques
Les entreprises devront fournir un registre complet des traitements de données, surcoût procédurier significatif pour les start-up qui éparpillent l'information. Les sanctions, dissuasives, pourront aller jusqu'à 4% du chiffre d'affaires, extension considérable par rapport aux 150000euros de la Commission nationale informatique et liberté.
Voitures autonomes, coeur artificiel... Jusqu'où une machine devra-t-elle justifier ses «raisonnements»?
Depuis les Etats-Unis, ce nouveau cadre est vu comme un affront à l'intelligence... artificielle. En effet, le recueil du consentement représente une attrition pour les bases de données qui nourrissent l'apprentissage itératif des solutions dites de machine learning. Ces logiciels se distinguent par leur capacité à prendre des décisions. Or le RGPD donne au citoyen un contrôle sur le «profilage par algorithmes», c'est-à-dire toute décision prise sur la base d'un profil.
Elon Musk [PDG de SpaceX et Tesla] a souligné l'incertitude juridique qui pèse sur les développements les plus ambitieux. Ainsi, les voitures autonomes décideront pour nous de la meilleure façon d'éviter un accident. En santé connectée, le coeur artificiel de Carmat préserve les fonctions vitales d'un individu en rééquilibrant automatiquement les paramètres... Jusqu'où une machine devra-t-elle justifier ses «raisonnements»?
« Médecine de précision »
Parions que la bataille ne fait que commencer, alors que les progrès de l'intelligence artificielle augmentent les enjeux. Grâce à l'expertise acquise par les données, Google vient d'annoncer le lancement d'écouteurs qui traduisent 40 langues en instantané! Ces technologies spectaculaires s'appliquent en santé.
la portabilité permettra detélécharger et detransférer sesdonnées d'uneplate-forme àl'autre, comme on change d'opérateur téléphonique
Aux Etats-Unis, l'initiative pour la «médecine de précision», à laquelle Obama a alloué 215millions de dollars en2015, repose sur la numérisation sans entraves. Des gènes au suivi des signes vitaux par le biais de capteurs, elle postule que l'analyse des données permettra de mieux détecter les maladies et de cibler les thérapies. Pendant ce temps, les silos imposés en Europe, notamment sur le séquençage ADN, menacent de la faire passer à côté de cette révolution.
L'Europe peut-elle rattraper son retard sans perdre son âme? La protection des libertés ne doit pas être sacrifiée, même au nom de la concurrence. Il faut donc redoubler d'efforts. A la différence des Etats-Unis, la centralisation des systèmes, notamment dans le domaine de la santé, ouvre une voie si les acteurs publics se pensent eux-mêmes comme plate-forme. De même, certains nouveaux droits peuvent être l'occasion d'une concurrence plus loyale, comme la portabilité, qui permettra de télécharger et de transférer ses données d'une plate-forme à l'autre, comme on change d'opérateur téléphonique. Cela manque aux Etats-Unis. Mais ce qu'il manque à l'Europe, c'est la capacité qu'ont les Etats-Unis à associer toute contrainte nouvelle à un soutien massif à l'investissement.
Alexis Normand est directeur des activités B2B de Nokia Santé Digitale (ex-Withings) et auteur de la Révolution de la e-santé (Eyrolles, 198 p., 21 ).
DATE-CHARGEMENT: 7 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
340 of 500 DOCUMENTS
Alwihda
6 novembre 2017 lundi
70% des décideurs informatiques européens voient le Brexit comme une opportunité
LONGUEUR: 1063 mots
ORIGINE-DEPECHE: Paris
Paris, novembre 6 -- Interoute, fournisseur de réseau et de Cloud mondial, révéle les résultats d'une étude montrant que prés des deux tiers (63%) des entreprises en Europe prévoient une forte croissance pour l'année à venir. La France est même légérement plus optimiste que la moyenne européenne avec 65% de décideurs informatiques envisageant une forte croisssance de leur activité. Les revirements politiques sont vécus comme source d'opportunités pour les pays et les entreprises capables de s'adapter : une moyenne de 70% pense que la sortie de la Grande-Bretagne de l'Union Européenne est un facteur favorable pour leur entreprise.
Dans cette étude ayant recueilli les témoignages de plus de 800 décideurs informatiques européens, la confiance en l'avenir est la plus forte, dans ce contexte de sortie de la Grande-Bretagne de l'Union Européenne, en France (83%) et en Belgique (78%), la plus basse en Suéde (49%). Même s'il est généralement vu de maniére positive en Europe, 63% des décideurs informatiques interrogés pensent que le Brexit peut conduire à une dissolution de l'Union Européenne. Cette conviction est particuliérement forte en Allemagne (78%), en France (70%) et en Italie (66%).
Dans ce climat politique instable, 95% des personnes interrogées admettent que le Brexit a eu un impact particulier dans leurs prises de décisions. 96% estiment que l'instabilité générale (les politiques étrangéres américaine et russe par exemple) ont influencé leurs orientations. Forcée de s'adapter à un monde changeant, la majorité des décideurs informatiques a modifié ses choix d'infrastructure pour apporter plus d'agilité. En France, dans la même proportion que dans l'ensemble de l'Europe, trois entreprises sur cinq (61%) ont entrepris des projets de transformation digitale.
En Europe, les principales motivations pour adopter une transformation digitale sont la réduction des coûts en améliorant les processus (46%), l'amélioration de l'expérience des employés en mettant à leur disposition plus d'outils mobiles et sociaux (45%), et l'amélioration de l'expérience clients (41%). La France se démarque en positionnant la volonté de mondialiser son infrastructure pour permettre d'avoir recours à des compétences étrangéres (46%), et le besoin d'innover pour rester compétitif (44%) devant la réduction des coûts (41%). L'expérience clients et l'expérience collaborateurs recueillent 37% des sondages chacun.
Bruno Boucq, Directeur Général France d'Interoute, commente : « L'Europe vit une période d'incertitude politique qui impacte les décisions des responsables informatiques dans tous les secteurs. Les organisations les plus optimistes voient cette période comme une opportunité pour ceux qui feront les bons investissements technologiques entrainant une croissance et l'amélioration de l'expérience pour les clients comme les salariés. Les politiques étrangéres trés changeantes, le Brexit et même le nouveau Réglement Général sur la Protection des Données (RGPD) obligent les organisations à réétudier les aspects juridiques, financiers et opérationnels de leurs activités. La tranformation digitale va permettre de créer des organisations suffisamment flexibles, capables de s'adapter aux évolutions du marché et aux revirements politiques. Celles qui opérent maintenant leur migration vers la bonne infrastructure digitale sont quasiment sures d'être les mieux placées pour s'imposer sur leurs marchés dans cette période incertaine.»
Les résultats de cette étude sont extraits du rapport « The challenges facing European IT decion-makers engaged in digital business transformation », interrogeant décideurs et professionnels de l'informatique sur les facteurs qui orientent leurs décisions en matiére d'appréhension du changement. Vous pouvez le télécharger ici : http://www3.interoute.com/Euro-Digi-Research-FR.
À propos d'Interoute
Interoute est propriétaire d'une plateforme de services Cloud mondiale et de l'un des plus importants réseaux européens comprenant 15 data centres d'hébergement, 17 Virtual Data Centres, 33 centres de colocation et des connexions avec plus de 206 autres data centres chez ses partenaires en Europe.
L'innovation faisant partie de son ADN, Interoute a bâti une plateforme digitale privée dédiée aux entreprises.
L'intégralité de son offre de services pour une IT unifiée, s'adresse aux multinationales ainsi qu'aux plus grandes entreprises de télécommunications mondiales, aux états et aux universités. 26 des 30 plus grands opérateurs de télécommunication mondiaux utilisent le réseau Interoute.
Interoute accompagne ses clients dans leur transformation digitale en apportant l'infrastructure hybride permettant l'agilité, la souveraineté et le contrôle des données, tout en réduisant les coûts.
Sa stratégie pour une IT unifiée se montre attractive pour les entreprises qui cherchent une plateforme sécurisée, évolutive et sans contrainte, sur laquelle elles puissent construire leurs services voix, vidéo, informatique et données, et pour les fournisseurs de services Internet désirant une haute capacité internationale pour leur infrastructure et le transfert de données. Interoute posséde et gére également 24 réseaux métropolitains majeurs parmi les plus grands centres d'affaires européens.
Pour plus d'informations, rendez-vous sur www.interoute.fr
Suivez-nous sur twitter : https://twitter.com/Interoute_fr
À propos de l'étude
L'étude, 'The challenges facing European IT decision makers engaged in digital business transformation,' a été réalisée par le cabinet indépendant Coleman-Parkes Research pour le compte d'Interoute entre août et septembre 2017. Les résultats portent sur les réponses de 820 décideurs informatiques travaillant en Europe dans des organisations dont le chiffre d'affaires annuel oscille entre 200 millions et cinq milliards d'euros. Elle a cherché à comprendre comment les organisations prévoyaient de s'imposer dans un monde en mouvement. Elle a interrogé les décideurs informatiques sur leur confiance face aux changements politiques, l'impact de cette part d'incertitude sur leurs choix technologiques et la maniére dont les organisations se préparent à saisir les opportunités qui se présentent.
Published by HT Digital Content Services with permission from Alwihda info. For any query with respect to this article or any other content requirement, please contact Editor at content.services@htlive.com
DATE-CHARGEMENT: November 7, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 HT Media Ltd.
Tous droits réservés
341 of 500 DOCUMENTS
Décideurs Magazine Online
lundi 6 novembre 2017
Alexandre Barbé (MediaMath) : « Les annonceurs peuvent choisir leurs cibles avec un niveau de précision inédit »
LONGUEUR: 1566 mots
ENCART: Plate-forme technologique intervenant uniquement du côté de la demande publicitaire, MediaMath accompagne les agences et les annonceurs pour améliorer la performance de leurs campagnes. À travers sa DSP (« demand-side platform »), la société participe à la croissance de l'achat programmatique. Alexandre Barbé, directeur commercial France, décrypte le succès de ce mode d'achat.
Décideurs. Quel est votre positionnement et votre plus-value sur le marché des achats publicitaires en ligne ?
Alexandre Barbé. MediaMath est une plate-forme technologique qui intervient uniquement du côté de la demande. Nos clients sont donc les agences et les annonceurs utilisant notre DSP (demand-side platform), pour améliorer la performance de leurs campagnes programmatiques. Contrairement à nos plus gros concurrents qui proposent aussi bien des DSP que des SSP (supply-side platform), aucun lien ne nous rattache aux éditeurs de sites, détenteurs des inventaires d'espaces publicitaires digitaux. Cette décorrélation nous permet d'être dans l'alignement parfait des objectifs de nos annonceurs, sans aucuns biais commerciaux ou stratégiques. Grâce à notre neutralité dans l'achat média, nous sommes en mesure d'afficher une transparence à tous les niveaux. Le bilan des lieux d'affichage de la publicité comme des transactions financières sont ainsi disponibles en permanence. Cette transparence concerne aussi la technologie et l'apprentissage. Si certaines sociétés du marché s'apparentent à des black box au fonctionnement très opaque, nos utilisateurs peuvent quant à eux comprendre leurs avancées, campagne par campagne. Enfin, la DSP de MediaMath a été conçue pour s'améliorer dans le temps avec l'ajout d'applications logicielles supplémentaires à travers son API (interface de programmation d'applications) qui automatise un certain nombre de tâches pour les développeurs. Le produit peut aussi s'intégrer avec facilité dans les systèmes de nos clients, y compris ceux qui possèdent plusieurs DSP différentes.
Pourquoi le marché du programmatique a-t-il connu une telle croissance ?
Les promesses du programmatique ont séduit de nombreux annonceurs qui n'étaient pas satisfaits de leurs précédentes expériences de négociation. Auparavant, avec les achats en gré à gré, on choisissait des packs d'impressions pendant un nombre de jours limité, en se concentrant sur certains inventaires d'espaces publicitaires. Le programmatique affine cette stratégie et ajoute une logique d'audience, impression par impression. Grâce à la collecte et à l'analyse automatisée d'un grand nombre de données, les internautes sont classés par catégories démographiques ou socio-professionnelles. Les annonceurs peuvent alors choisir leurs cibles avec un niveau de précision inédit. Les options de retargeting offrent aussi la possibilité de toucher les personnes ayant déjà manifesté un intérêt pour l'enseigne, que ce soit par le biais d'une visite de sites appartenant à la marque ou d'achats en ligne de produits.
« Nos outils permettent d'éviter les situations inconfortables »
Comme les grandes régies qui s'organisent pour leur faire face, percevez-vous Google et Facebook comme d'inquiétants rivaux ?
Google est déjà notre principal concurrent. Leur DSP, nommée Doubleclick Bid Manager (DBM), est la première du marché. Notre relation avec ce géant est ambivalente puisqu'il représente aussi l'un de nos plus gros partenaires en nous fournissant de nombreux inventaires. Le programmatique est issu du marché du search. Recherche par recherche, les montants dépensés par les annonceurs varient en suivant un système d'enchères. Les acteurs spécialisés dans l'achat d'espaces publicitaires display se sont appropriés ces technologies. Aujourd'hui, les annonceurs doivent adopter une stratégie marketing cohérente sur l'ensemble des canaux ; le display et le search bien sûr, mais également la vidéo, le mobile ou le social. Chaque canal de communication possède ses avantages : le search sera par exemple très performant pour des campagnes à la performance et permettra de générer un ROI direct. Le display sera tout aussi efficace pour le branding (l'amélioration de la notoriété de la marque et le positionnement sur le long terme) que pour les campagnes à la performance. C'est en profitant des caractéristiques de l'un et de l'autre de ces canaux marketing qu'une stratégie de communication peut avoir un impact maximal.
Qui a le plus souffert de l'émergence d'acteurs à forte valeur ajoutée technologique sur le marché de la publicité digitale tels que MediaMath ?
Il est compliqué de se prononcer sur cette question. Ce que l'on peut dire, c'est que le programmatique a orienté les investissements des régies publicitaires traditionnelles vers des sociétés technologiques. Les réseaux publicitaires regroupant des sites variés, aussi appelés ad networks, ont disparu lorsqu'ils n'étaient pas capables de se doter d'un trading desk. Ce dernier prend en charge l'achat de l'inventaire en ligne et est un client pour les DSP comme MediaMath. En réalisant l'achat directement sur les sites des éditeurs ou sur les market places publicitaires, le trading desk court-circuite les ad networks. Google et Facebook ont fait souffrir ces réseaux en captant 68 % des investissements l'année passée. L'inventaire et les données dont disposent ces mastodontes sont inégalés et leurs audiences quotidiennes sont plus importantes que n'importe quelle régie publicitaire. En matière de performance et de proportion d'internautes visitant leurs sites, Google et Facebook ont de solides arguments en leur faveur.
« Nos outils permettent d'éviter les situations inconfortables »
Quels moyens utilisez-vous pour améliorer le ciblage et la rentabilité des campagnes dont vous avez la charge ?
Le ciblage peut se faire avec plusieurs leviers. Il y a d'abord le ciblage média. Lorsque l'on souhaite diffuser des messages concernant sa marque, il est essentiel de savoir où l'on achète et où l'on va apparaître. Si la publicité s'affiche sur le site du Figaro, l'environnement diffère du site du Bon Coin par exemple. Par ailleurs, les critères de brand safety gagnent en importance. Avant le chargement des sites web, nos robots lisent les pages où la publicité doit être diffusée et décèlent les mots clés permettant de repérer des propos haineux ou à destination d'un public adulte. Dès lors, notre solution logicielle interrompra le chargement de la publicité afin que la marque ne soit pas associée à des contenus violents ou négatifs. Cette opération peut être affinée pour les annonceurs qui ne veulent pas apparaître en marge d'un contenu leur portant préjudice. Si un article de presse relate une marée noire, il serait ainsi malvenu pour Total de communiquer à proximité d'un tel texte. Il existe enfin un contrôle de la visibilité des inventaires. Si la publicité est entièrement visible à l'écran pendant plus d'une seconde, alors elle est considérée visible. Nous proposons aux annonceurs de s'afficher ou non en fonction de la qualité des emplacements. Nos outils permettent d'éviter les situations inconfortables.
Et concernant le ciblage des audiences ?
Nous nous appuyons sur des sociétés tierces dont le ciblage des internautes est la spécialité. Bluekai, Exelate ou Oracle placent les audiences dans des catégories précises en s'appuyant sur les third party data, ces données comportementales collectées avec des cookies sur des sites internet variés. Les informations ainsi obtenues sur les internautes sont ensuite croisées avec les first party data qui appartiennent à l'annonceur. Ce sont les éléments issus du CRM et des historiques de navigation sur les sites de l'annonceur : pages visitées, le temps passé sur chaque page, les produits achetés... Toutes ces données sont regroupées au sein de la DSP pour optimiser les campagnes publicitaires.
L'entrée en vigueur du RGPD peut-elle menacer les fondements de ce business model ?
Aujourd'hui, un bandeau annonce à l'internaute que le site sur lequel il navigue utilise des cookies. Qu'il ferme la fenêtre destinée à l'informer ou non, la collecte de ses données a déjà commencé. Le nouveau règlement devrait changer la donne. Si l'internaute ne donne pas son consentement explicite pour l'agrégation et l'utilisation de ses informations, alors aucune démarche de collecte ne pourra être lancée. Les sociétés spécialisées dans le ciblage devront se mettre en conformité pour poursuivre leur activité sans sacrifier ni l'expérience de navigation, ni les aspirations des individus vers un plus grand respect de leur vie privée.
Quelles devraient être les prochaines étapes de la généralisation du programmatique ?
Le programmatique va s'enrichir en se connectant à l'ensemble des canaux marketing, afin que les communicants puissent gérer l'ensemble de leur stratégie viaune seule et même plate-forme. Il sera possible dans un futur proche d'acheter en programmatique sur le display, mais aussi sur la TV, la presse, la radio et le digital out of home. Le search et les réseaux sociaux captent la majorité des investissements et le programmatique est à l'étroit avec les seuls inventaires display. Les silos vont disparaître et de nouveaux leviers pourront être actionnés par les annonceurs. Suivant la même logique, d'autres technologies marketing seront bientôt intégrées. Je pense notamment aux systèmes d'e-mailing ou au marketing sur les points de vente. À très court terme, l'intelligence artificielle devrait aussi rebattre les cartes en tirant le meilleur du nombre gigantesque de données disponibles. Chez MediaMath, nous allons être les premiers à intégrer Watson, l'intelligence artificielle d'IBM, à notre DSP. Le but sera d'expérimenter les avantages de cette puissance de calcul hors du commun.
Propos recueillis par Thomas Bastin (@ThBastin)
DATE-CHARGEMENT: 20 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Leader's League
tous droits réservés
342 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 6 Novembre 2017
RGPD : comment les marchands vont devoir traiter leur data
AUTEUR: Quentin Ebrard
RUBRIQUE: ARTICLES; eCommerce
LONGUEUR: 1016 mots
ENCART: Le règlement européen impose aux entreprises de tenir un registre des activités de traitement de leurs données. Les sociétés devront aussi pouvoir prouver le consentement des clients.
L'entrée en vigueur du Règlement général sur la protection des données (RGPD) se rapproche pour les entreprises. Date limite : le 25 mai 2018. Ce règlement européen organise la collecte, l'enregistrement, la structuration, la conservation, la modification ou encore la destruction des données. En somme, tout traitement de la data à caractère personnel est touché dès lors qu'il s'agit d'un résident européen, où que soit situé le siège de la société. "Les e-commerçants sont particulièrement concernés car ils traitent beaucoup de données, notamment pour personnaliser la relation en ligne, à partir de l'historique de navigation, de la localisation, de l'adresse IP, du panier d'achat ou encore des informations issues des réseaux sociaux. Tenir un registre d'activité de ces traitements (RAT) deviendra obligatoire pour eux", commence Florence Bonnet, expert en protection des données et directeur chez TNP Consultants.
Ce registre des activités de traitement doit être tenu à disposition des autorités
Défini par l'article 30 du RGPD, ce registre des activités de traitement doit être tenu à disposition des autorités en cas de contrôle. Il précise la finalité du traitement. Par exemple, ce peut être l'envoi de newsletters ou une campagne marketing par SMS. Le nom et les coordonnées du responsable du traitement sont à inscrire. Tout comme la description des catégories de personnes concernées. Il peut s'agir notamment de clients, de prospects, de patients, d'adhérents, d'enfants ou de personnes âgées. Ce registre référence également les catégories de data à caractère personnel traitées. C'est-à-dire "toute information qui se rapporte à une personne identifiée et identifiable, comme le nom, un numéro d'identification, la localisation, des éléments sur son identité physique, psychique, économique, culturelle et sociale", rappelle Gérard Haas, avocat spécialisé en nouvelles technologies et RGPD. Par ailleurs, le RAT doit enregistrer d'éventuels transferts de données vers un pays tiers ou une organisation internationale. Enfin, dans la mesure du possible, la description des mesures de sécurité adoptées et les délais prévus pour l'effacement de données doivent être précisés.
Mis à jour au fur et à mesure du temps, ce registre sera tenu sous forme écrite, y compris électronique. Il est obligatoire pour toutes entreprises de plus de 250 salariés. Cependant, les sociétés plus petites sont également concernées si elles traitent de données sensibles. Par exemples relatives à la religion, à la santé, à la sécurité sociale, à la biométrie ou à la politique. Ou encore, si le traitement est régulier. Autant dire que presque tous les e-commerçants doivent tenir un registre.
Un outil de pilotage de la protection des données
Tenir un tel registre assure une meilleure connaissance, améliore la gestion et permet de piloter la stratégie en terme de protection des données. "Il permet aux marchands de faire un point sur leur data : qu'ai-je en main ? Quel traitement ? Quelle base juridique ? Depuis combien de temps ? Sont-elles appropriées ? Faut-il en supprimer ?", liste Florence Bonnet. Bien renseigné, ce document permet aussi de gérer les demandes des internautes qui voudraient récupérer leurs informations, comme le permettra RGPD. Autre utilité : les sociétés ont le nouveau devoir de notifier dans les 72 heures aux clients une faille de sécurité comme un piratage informatique. Le registre des activités de traitement peut faciliter cette notification le cas échéant.
"La complexité de ce règlement a été sous-estimée"
"Les entreprises commencent seulement à comprendre l'ampleur de la tâche. La complexité de ce règlement a été sous-estimée", déplore Florence Bonnet. 10% d'entre elles ne savent pas encore dans combien de systèmes sont conservées les données personnelles qu'elles collectent, selon une étude OnePoll réalisée pour Citrix sur près de 500 décisionnaires informatiques de société de plus de 250 salariés en France. 15% avouent même perdre en partie la main sur la data.
Qui pour s'en occuper ?
Le responsable du traitement doit tenir ce registre. "Dans une petite structure, ce peut être un DPO. Cependant, dans les grandes sociétés, il faut que la structure soit gérée par des opérationnels qui connaissant la durée et les informations", précise Florence Bonnet. Laure Landes-Gronowski, avocate associée pôle IT & Data privacy chez Avistem, a écrit en janvier 2017 un tutoriel pour aider à l'élaboration d'un tel registre. Ce guide recommande de :
Cartographier et auditer les traitements mis en ½uvre au sein de l'entité Réaliser une trame de registre Définir une méthodologie interne pour la tenue du registre Déterminer la ou les personne(s) en charge de la tenue du registre Formaliser une aide pour les collaborateurs en vue de la rédaction Insérer chaque traitement identifié Mise à jour régulière
En parallèle de ce registre, les entreprises ont une autre obligation liée à la data. "Il faut pouvoir prouver à posteriori la trace du consentement qui justifie un traitement", explique Marc Schillaci, fondateur et PDG d'Oxatis, qui propose une solution pour les marchands en ligne de TPE/PME. La traçabilité du consentement doit exister de bout en bout, de l'accord jusqu'au retrait. Par exemple, un client accepte de recevoir des mails promotionnels. Ce sera noté avec la date, son nom, son prénom ou encore son adresse IP. Si le client retire ce consentement, il faut aussi en conserver cette trace. Face à un tel chantier, "les marchands doivent traiter en priorité le cas des newsletters. Puis, dans un second temps, la question des cookies qui est encore plus colossale", prévient Marc Schillaci.
Et aussi :
Le JDN propose la première édition de la Nuit du Data Protection Officer le 12 décembre prochain. Un événement destiné à récompenser les meilleurs DPO de France. Pour en savoir plus : la Nuit du Data Protection Officer.
"Pas mal d'opportunistes incompétents proposent de l'accompagnement RGPD"
Le président de l'Association française des correspondants à la protection des données personnelles a collaboré à l'ouvrage "Se préparer au RGPD".
DATE-CHARGEMENT: 7 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
343 of 500 DOCUMENTS
Le Figaro Online
lundi 6 novembre 2017 07:18 PM GMT
Paul Ohm : «Protéger les données ne veut pas dire protéger la vie privée»
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 851 mots
ENCART: Professeur de droit et expert sur le sujet des données personnelles, Paul Ohm s'intéresse à l'impact des nouvelles technologies sur la notion de «vie privée». Pour lui, la bataille que l'Europe mène sur ce thème profitera également aux consommateurs américains.
Paul Ohm est professeur de droità la Georgetown University Law School, codeur et expert de la question des données personnelles. Il s'intéresse à l'impact des nouvelles technologies sur la notion de «vie privée». De passage en France pour une conférence à l'Axa Research Fund, il nous a livré son analyse sur le mouvement européen vers plus de protection des données.
Quelle est votre définition de la vie privée aujourd'hui?
En anglais, la «privacy» est devenue un fourre-tout de plus en plus confusionnant, au point de renvoyer à toute une famille de sujets: le droit de contrôler ses informations, le droit d'être laissé tranquille, le droit à l'intimité avec d'autres personnes.... Pour moi, la vie privée, c'est avant tout le droit de se développer en tant qu'être humain. Quand on est surveillé ou qu'on a le sentiment de l'être, cela empêche de se développer correctement.
Comment l'absence de vie privée nous affecte-t-elle concrètement?
Si les innovateurs n'ont pas la liberté de jouer avec leurs idées, de les développer en coulisses, leur personnalité et leur inventivité sont bridées. Paradoxalement, on oppose souvent la vie privée et l'innovation, considérant que renoncer à sa vie privée est une condition à l'invention de nouveaux services. En réalité, c'est l'inverse: la vie privée est une condition de l'innovation. L'individu n'est pas le seul à souffrir de la surveillance, vécue ou perçue: la société tout entière en pâtit.
L'Europe a élaboré de nombreux textesautour de la protection des données personnelles, qui entreront en application l'an prochain. Pour vous, cela signifie-t-il qu'elle prend la question de la vie privée à bras-le-corps?
Cela a été long à venir, mais l'affaire Snowdena précipité les débats sur la question de la vie privée des deux côtés de l'Atlantique. Je parle beaucoup du nouveauRèglement Général de Protection des Donnéesavec mes étudiants [à Georgetown, NDLR], pour qui cette approche européenne est totalement étrangère: la vie privée est pour eux une valeur qui s'échange contre un service, et non un droit fondamental. À mes oreilles d'Américain, cette question de «droit fondamental» reste très difficile à définir au niveau du droit. Et en un sens, on confond souvent la protection des données personnelles et la vie privée. Il y a beaucoup de détails techniques, de garanties contractuelles liées à la protection des données, qui n'ont pas forcément à voir avec le droit fondamental à la vie privée.
La question de la protection des données est-elle plutôt un enjeu de régulation très politique, où l'Europe essaie de faire valoir sa vision dans le monde entier?
J'espère que l'Europe va imposer sa vision! (rires) Plus sérieusement, les frontières sont encore très strictes, même si j'avoue espérer que l'Europe a un impact hors de ses frontières. Aux États-Unis, il n'y a aucun mouvement qui est fait, au niveau fédéral, pour garantir une plus grande protection des données. Les entreprises les collectent de manière dérégulée, ou sont seulement régulées par les lois du marché. Si nous n'avions pas les régulateurs européens ou certaines instances fédérales (comme en Californie ou au Massachusetts, qui sont des États plutôt raisonnables en matière de protection des données), nous autres Américains n'aurions absolument rien pour protéger notre vie privée! Cela ne veut pas dire qu'il nous faut absolument une protection comme celle de l'Europe, mais plutôt que l'approche européenne nous permet d'obtenir des droits également. Quand une multinationale doit s'adapter au RGPD, elle le fait pour tous ses clients et pas seulement pour les Européens.
À terme,ne risque-t-on pas d'avoir un internet «balkanisé» par la régulation des États?
Je pense que l'idée d'un Internet sans friction n'a en réalité jamais vraiment existé. Internet est déjà un territoire morcelé où la Chine, la Russie ou encore le Brésil ont des lois radicalement différentes de celles de l'Europe ou des États-Unis. Nous avons pensé un moment qu'Internet transcendait les frontières, mais il y a toujours des lois, et les entreprises peuvent être poursuivies. Toutefois, je ne pense pas qu'il soit bon que les données s'arrêtent à chaque frontière: on perdrait alors l'esprit vibrant caractéristique d'Internet.
Le respect de la vie privée devient de plus en plus un argument marketingdes entreprises technologiques, qu'en pensez-vous?
J'ai d'abord accueilli ces nouvelles avec scepticisme. Je ne savais pas s'il s'agissait d'une approche cynique par rapport aux exigences du marché qui demande plus de respect de la vie privée ou s'il s'agissait de sincère bonne volonté de la part de ces entreprises. J'ai changé d'avis car de réels efforts ont été faits, même si Internet repose encore majoritairement sur un modèle publicitaire qui utilise la vie privée de ses utilisateurs pour prospérer. Bien sûr qu'aujourd'hui, intenter un procès contre le FBI comme Apple, ou poursuivre l'État américain comme Microsoft, sont devenus des arguments marketing formidables! Mais au final, qu'importe l'intention, le résultat de l'action est positif et va dans le bon sens pour la vie privée.
DATE-CHARGEMENT: 6 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
344 of 500 DOCUMENTS
La Tribune
Samedi 4 Novembre 2017
Pour être "la banque du futur", ING parie sur les startups
AUTEUR: Delphine Cuny
RUBRIQUE: ENTREPRISES; Pg. 72
LONGUEUR: 1086 mots
ENCART: Le groupe néerlandais, qui mène une sévère restructuration de ses agences et investit massivement dans son informatique, accélère sa transformation en nouant des partenariats avec les jeunes pousses de la Fintech. ING a aussi créé un fonds de capital-risque de 300 millions d euros.
Un an après l'annonce de son drastique plan « Think Forward », le directeur général d'ING, Ralph Hamers, a fait le point ce jeudi à l'occasion de la publication des résultats du troisième trimestre, ressortis supérieurs au consensus. « Nous sommes sur la bonne voie pour transformer ING en la banque du futur, en nous efforçant de donner aux personnes les moyens de rester en avance dans leur vie et dans leurs affaires, en se montrant clair, facile, cohérent et pratique », a-t-il déclaré en commentant les comptes. Le groupe néerlandais, présent dans 13 pays dans la banque de détail - uniquement en ligne hors Benelux : en France, en Allemagne, Espagne, Italie, etc - a décidé d'accélérer son virage vers le digital. Il a prévu de réaliser 900 millions d'euros d'économies en rythme annuel d'ici à la fin de 2021, notamment en réduisant ses effectifs de 7.000 postes (sur un total de 54.000 actuellement) et en fermant la moitié des agences en Belgique, tout en investissant 800 millions d'euros dans l'informatique pour créer une plateforme numérique commune à tous ses pays d'implantation. Au salon Money2020, à Las Vegas, fin octobre, il avait à nouveau défendu sa vision d'une banque devenant plateforme ou s'intégrant à d'autres plateformes, aux réseaux sociaux notamment.
« Les gens n'ont plus le temps aujourd'hui de s'occuper de banque, même moi je n'ai pas le temps ! Et même s'ils l'avaient, ils ne voudraient pas le consacrer à la banque », avait-il constaté, fataliste, ajoutant que si une banque veut être pertinente, « il faut être là où les gens sont : sur mobile. »
[La place d'une banque à l'avenir, au milieu d'autres plateformes comme Facebook, Amazon, Apple, Spotify, Uber, Airbnb, etc. Crédits : ING] Lire aussi : La banque du futur doit devenir une plateforme, selon Citigroup
Partenariats avec des Fintech Cette transformation en un « Spotify de la banque », selon son expression, n'est pas seulement interne mais se joue aussi en s'ouvrant à l'extérieur, à des startups de la Fintech notamment.
« Nous savons que nous avons beaucoup à apprendre des autres dans ce processus et nous considérons qu'il y a de la valeur à joindre nos forces dans la coopération », a fait valoir Ralph Hamers. « Un exemple [de cette démarche] est le partenariat que nous avons
annoncé récemment avec le gestionnaire de fortune numérique Scalable Capital en Allemagne. Cela élargit notre offre avec des services de gestion d'investissement en ligne, plus connus sous le nom de robot-conseiller. Nous continuerons à créer ou co-construire des expériences client de ce type, qui sont personnalisées, fluides, instantanées et pertinentes. » Scalable Capital est une startup de Munich dans laquelle le numéro un mondial de la gestion d'actifs, BlackRock, a investi en juin dernier, menant son tour de table de 30 millions d'euros. ING a annoncé en septembre ce partenariat avec le robo-advisor: plus de 1.000 clients s'y inscrivent chaque semaine depuis. La banque au lion orange s'est associée à cinq autres Fintech, dont la plateforme américaine de prêt aux PME Kabbage, qui a levé 250 millions de dollars en août auprès notamment de SoftBank, et la française Budget Insight pour lancer en Italie et en France une offre de crédit aux TPE/PME « immédiate et 100% digitale » baptisée « Prêt Pro Direct » promettant une réponse en 10 minutes et un déblocage des fonds sous 48 heures (jusqu'à 100.000 euros). ING a aussi travaillé avec la startup italienne Axyon AI dans l'intelligence artificielle pour mettre en place un chatbot dans le domaine de la banque de financement pour sa clientèle d'entreprises. Et la démarche semble plutôt plaire aux marchés financiers :
« Nous pensons que ING est la meilleure façon de jouer la transformation digitale dans la banque et nous nous attendons à voir les bénéfices de ces investissements d'ici à la fin de 2018 » estiment les analystes du courtier Jefferies.
[La banque au lion orange se met en mode hipster au centre d'innovation d'expérience client d'Amsterdam. Crédits : DR] Fonds de venture et incubateur Afin d'aller plus loin, le groupe bancaire néerlandais a annoncé la semaine dernière la création d'ING Ventures, un fonds Fintech de 300 millions d'euros qui investira dans les quatre ans à venir dans des startups et des entreprises qui ont déjà commencé à décoller. La direction en a été confiée à Benoît Legrand, qui fut le patron d'ING France, puis le responsable des Fintech au siège. Le groupe a peu communiqué sur ses investissements jusqu'ici : ING a mené en juin dernier le tour de table de 25 millions d'euros de la startup espagnole Fintonic (gestion des finances personnelles) et participé auparavant aux levées de fonds de Kabbage, de la plateforme hongkongaise de prêt entre particuliers WeLab, du consortium de la Blockchain R3, et à l'amorçage d'Axyon (en obligations convertibles).
« ING Ventures aidera à accélérer le rythme d'innovation, une de nos priorités. Chaque investissement sera aligné avec notre stratégie consistant à apporter une expérience client différenciante », a insisté le directeur général, Ralph Hamers. Le groupe néerlandais a d'ailleurs créé un « centre d'innovation d'expérience client » et un studio d'innovation à Amsterdam, près de son siège, où il incube des startups, internes et externes, et cherche à développer de nouveaux modèles d'affaires.
[Le centre d'innovation d'expérience client d'ING à Amsterdam. Crédits : DR] En présentant les lieux à la presse française le mois dernier, Ignacio Julia Vilar, à la fois directeur de l'innovation et de la banque de détail, avait lancé :
« L'innovation est un "buzz word" : elle n'est qu'un facilitateur. Nous ne croyons pas que l'innovation va sortir d'un grand centre de R&D, il faut aller écouter les clients, voir quels problèmes concrets on peut régler, et pas créer des gadgets. »
« Nous voulons devenir le lieu où aller pour tous les besoins financiers de nos clients. Le trafic, les 3 milliards de contacts que nous avons par an avec nos clients, constitue notre plus grand actif. » Or près de 60% de ses contacts se font désormais par mobile. Un point de vue assez décapant chez un banquier mais qui correspond sans doute à la vision de la banque du futur. Les données sont sans doute l'actif le plus sous-évalué des banques.
Lire aussi : Société Générale nomme un gardien des données avant le RGPD
Ralph Hamers, le directeur général du groupe ING, veut transformer ce dernier en "Spotify de la banque", en devenant une plateforme collaborant avec des startups de la Fintech.
DATE-CHARGEMENT: 3 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
345 of 500 DOCUMENTS
Economie Matin
3 novembre 2017 04:00 AM GMT
Sensibiliser et tester les attitudes des employés à la sécurité informatique
LONGUEUR: 864 mots
De nombreuses initiatives sont menées à l'occasion du Mois Européen de la Cybersécurité et l'une des actions phares en ce mois d'octobre a été le test effectué par le Ministère de l'Economie qui n'a pas hésité à procéder à une fausse campagne de phishing afin de sensibiliser ses propres employés à la sécurité. Résultat ? Sur 145 000 agents, plus de 30 000 ont cliqué sur le lien entre 10h et midi, soit un taux de clic de 20 %. De quoi rendre envieux la plupart des professionnels de l'emailing marketing. Comme la majeure partie des professionnels de la sécurité le savent, les pirates utilisent souvent des techniques assez peu sophistiquées pour pénétrer dans le système d'information des entreprises. Les mots de passe faibles, vulnérables aux essais de force brute, ou les failles de logiciels qui n'ont jamais été supprimées constituent des vecteurs d'attaques simples.
Et comme le démontre l'opération du Ministère de l'Economie, le phishing offre une porte d'entrée des plus efficaces. ? En général, l'e-mail de phishing est conçu pour paraître officiel. Il semble souvent provenir d'une adresse légitime ou d'un nom de domaine qui se rapproche de l'original (vaornis.com au lieu de varonis.com par exemple). L'objectif est de prendre les victimes par surprise alors qu'elles naviguent dans leur boîte de réception, puis de les pousser à cliquer sur un lien qui les dirigera vers un site web compromis (téléchargement d'un programme malveillant, d'un ransomware, récupération d'identifiants/mots de passe, etc.). Plus les pirates disposent de données sur leur " cible ", plus un email de phishing à de chances de réussir. ? Les pirates se concentrent souvent sur des cibles à forte valeur comme les cadres dirigeants. Ce genre d'escroquerie a déjà permis de duper des personnes situées au sommet de la hiérarchie, l'objectif le plus courant étant d'obtenir un accès privilégié à des informations confidentielles ou de propriété intellectuelle, et éventuellement des renseignements embarrassants. Sensibilisation et pratique : clé de la sécurité La sensibilisation est un moyen d'atténuer les attaques ciblant les dirigeants et les employés. Quelques entreprises à l'exemple du Ministère de l'Economie effectuent des tests plus ou moins réguliers visant à sensibiliser leurs employés et leur inculquer les bons réflexes. L'exercice est loin d'être inutile car au même titre que sensibiliser les employés aux bons gestes en cas d'alerte incendie, une telle procédure pourrait être répliquée sur le plan numérique et faire partie d'un programme global de protection de la propriété intellectuelle. ?Au delà du phishing, on pourrait également envisager une expérience similaire dans le cadre de scénarii de sécurité de fichiers sensibles. Un responsable de la sécurité pourrait ainsi amorcer un dossier fréquenté du serveur de l'entreprise, par exemple avec un fichier au nom tentant du genre " Hautement confidentiel : projet de fusion " [ou tout autre appât au choix], lui donner des permissions d'accès très larges, et voir ce qu'il se produit. Il faudra bien entendu être en mesure de pouvoir tracer l'ensemble des accès au dossier. Pourquoi élargir à ce type de tests ? Les résultats du dernier " Varonis Data Risk Report ", mettait en avant le fait que 47 % des entreprises laissent au moins 1 000 fichiers sensibles ouverts à tous les employés et une récente étude du Ponemon Institute, soulignait de son coté que 62 % des utilisateurs finaux affirment avoir accès à des données de l'entreprise qu'ils ne devraient probablement pas pouvoir consulter. On imagine facilement les risques encourus en cas de piratage, d'infection par un ransomware ou si un employé à de mauvaises intentions. Mais les risques pourront également aller bien au-delà de la simple atteinte aux données puisqu'à compter de mai 2018, le nouveau Règlement Général sur la Protection des Données (RGPD) constituera une loi uniforme dans l'ensemble de l'UE et comprendra une obligation de notification des violations de 72 heures. La nouvelle législation clarifie la notion de violation de données. Il s'agit de " la destruction, la perte ou l'altération accidentelle ou illicite, la divulgation ou l'accès non autorisés aux données à caractère personnel transmises, stockées ou autrement traitées ". Cela signifie que le simple accès est considéré comme une violation et que les ransomware qui chiffrent les données personnelles nécessiteront une notification aux individus et organisme concernés. Et les sanctions en cas d'infraction à cette obligation de déclaration font courir à l'entreprise le risque de se voir infliger d'importantes amendes administratives pouvant aller jusqu'à 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 à 4 % du chiffre d'affaires annuel mondial. Sous cet angle il semble évident, qu'au-delà de toutes les mesures de sécurité que pourront prendre les entreprises, il devient essentiel pour ces dernières de sensibiliser leurs employés et de s'assurer que les principes inculqués seront " bien intégrés ". Pouvoir tester les acquis des employés régulièrement au travers de scenarii différents va donc devenir un élément primordial de la sécurité.
DATE-CHARGEMENT: 7 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
346 of 500 DOCUMENTS
La Tribune.fr
Vendredi 3 Novembre 2017 7:05 AM CET
Pour être "la banque du futur", ING parie sur les startups
AUTEUR: Delphine Cuny
RUBRIQUE: ENTREPRISES & FINANCE; BANQUES / FINANCE
LONGUEUR: 1086 mots
ENCART: Le groupe néerlandais, qui mène une sévère restructuration de ses agences et investit massivement dans son informatique, accélère sa transformation en nouant des partenariats avec les jeunes pousses de la Fintech. ING a aussi créé un fonds de capital-risque de 300 millions d euros.
Un an après l'annonce de son drastique plan « Think Forward », le directeur général d'ING, Ralph Hamers, a fait le point ce jeudi à l'occasion de la publication des résultats du troisième trimestre, ressortis supérieurs au consensus. « Nous sommes sur la bonne voie pour transformer ING en la banque du futur, en nous efforçant de donner aux personnes les moyens de rester en avance dans leur vie et dans leurs affaires, en se montrant clair, facile, cohérent et pratique », a-t-il déclaré en commentant les comptes. Le groupe néerlandais, présent dans 13 pays dans la banque de détail - uniquement en ligne hors Benelux : en France, en Allemagne, Espagne, Italie, etc - a décidé d'accélérer son virage vers le digital. Il a prévu de réaliser 900 millions d'euros d'économies en rythme annuel d'ici à la fin de 2021, notamment en réduisant ses effectifs de 7.000 postes (sur un total de 54.000 actuellement) et en fermant la moitié des agences en Belgique, tout en investissant 800 millions d'euros dans l'informatique pour créer une plateforme numérique commune à tous ses pays d'implantation. Au salon Money2020, à Las Vegas, fin octobre, il avait à nouveau défendu sa vision d'une banque devenant plateforme ou s'intégrant à d'autres plateformes, aux réseaux sociaux notamment.
« Les gens n'ont plus le temps aujourd'hui de s'occuper de banque, même moi je n'ai pas le temps ! Et même s'ils l'avaient, ils ne voudraient pas le consacrer à la banque », avait-il constaté, fataliste, ajoutant que si une banque veut être pertinente, « il faut être là où les gens sont : sur mobile. »
[La place d'une banque à l'avenir, au milieu d'autres plateformes comme Facebook, Amazon, Apple, Spotify, Uber, Airbnb, etc. Crédits : ING] Lire aussi : La banque du futur doit devenir une plateforme, selon Citigroup
Partenariats avec des Fintech Cette transformation en un « Spotify de la banque », selon son expression, n'est pas seulement interne mais se joue aussi en s'ouvrant à l'extérieur, à des startups de la Fintech notamment.
« Nous savons que nous avons beaucoup à apprendre des autres dans ce processus et nous considérons qu'il y a de la valeur à joindre nos forces dans la coopération », a fait valoir Ralph Hamers. « Un exemple [de cette démarche] est le partenariat que nous avons
annoncé récemment avec le gestionnaire de fortune numérique Scalable Capital en Allemagne. Cela élargit notre offre avec des services de gestion d'investissement en ligne, plus connus sous le nom de robot-conseiller. Nous continuerons à créer ou co-construire des expériences client de ce type, qui sont personnalisées, fluides, instantanées et pertinentes. » Scalable Capital est une startup de Munich dans laquelle le numéro un mondial de la gestion d'actifs, BlackRock, a investi en juin dernier, menant son tour de table de 30 millions d'euros. ING a annoncé en septembre ce partenariat avec le robo-advisor: plus de 1.000 clients s'y inscrivent chaque semaine depuis. La banque au lion orange s'est associée à cinq autres Fintech, dont la plateforme américaine de prêt aux PME Kabbage, qui a levé 250 millions de dollars en août auprès notamment de SoftBank, et la française Budget Insight pour lancer en Italie et en France une offre de crédit aux TPE/PME « immédiate et 100% digitale » baptisée « Prêt Pro Direct » promettant une réponse en 10 minutes et un déblocage des fonds sous 48 heures (jusqu'à 100.000 euros). ING a aussi travaillé avec la startup italienne Axyon AI dans l'intelligence artificielle pour mettre en place un chatbot dans le domaine de la banque de financement pour sa clientèle d'entreprises. Et la démarche semble plutôt plaire aux marchés financiers :
« Nous pensons que ING est la meilleure façon de jouer la transformation digitale dans la banque et nous nous attendons à voir les bénéfices de ces investissements d'ici à la fin de 2018 » estiment les analystes du courtier Jefferies.
[La banque au lion orange se met en mode hipster au centre d'innovation d'expérience client d'Amsterdam. Crédits : DR] Fonds de venture et incubateur Afin d'aller plus loin, le groupe bancaire néerlandais a annoncé la semaine dernière la création d'ING Ventures, un fonds Fintech de 300 millions d'euros qui investira dans les quatre ans à venir dans des startups et des entreprises qui ont déjà commencé à décoller. La direction en a été confiée à Benoît Legrand, qui fut le patron d'ING France, puis le responsable des Fintech au siège. Le groupe a peu communiqué sur ses investissements jusqu'ici : ING a mené en juin dernier le tour de table de 25 millions d'euros de la startup espagnole Fintonic (gestion des finances personnelles) et participé auparavant aux levées de fonds de Kabbage, de la plateforme hongkongaise de prêt entre particuliers WeLab, du consortium de la Blockchain R3, et à l'amorçage d'Axyon (en obligations convertibles).
« ING Ventures aidera à accélérer le rythme d'innovation, une de nos priorités. Chaque investissement sera aligné avec notre stratégie consistant à apporter une expérience client différenciante », a insisté le directeur général, Ralph Hamers. Le groupe néerlandais a d'ailleurs créé un « centre d'innovation d'expérience client » et un studio d'innovation à Amsterdam, près de son siège, où il incube des startups, internes et externes, et cherche à développer de nouveaux modèles d'affaires.
[Le centre d'innovation d'expérience client d'ING à Amsterdam. Crédits : DR] En présentant les lieux à la presse française le mois dernier, Ignacio Julia Vilar, à la fois directeur de l'innovation et de la banque de détail, avait lancé :
« L'innovation est un "buzz word" : elle n'est qu'un facilitateur. Nous ne croyons pas que l'innovation va sortir d'un grand centre de R&D, il faut aller écouter les clients, voir quels problèmes concrets on peut régler, et pas créer des gadgets. »
« Nous voulons devenir le lieu où aller pour tous les besoins financiers de nos clients. Le trafic, les 3 milliards de contacts que nous avons par an avec nos clients, constitue notre plus grand actif. » Or près de 60% de ses contacts se font désormais par mobile. Un point de vue assez décapant chez un banquier mais qui correspond sans doute à la vision de la banque du futur. Les données sont sans doute l'actif le plus sous-évalué des banques.
Lire aussi : Société Générale nomme un gardien des données avant le RGPD
Ralph Hamers, le directeur général du groupe ING, veut transformer ce dernier en "Spotify de la banque", en devenant une plateforme collaborant avec des startups de la Fintech.
DATE-CHARGEMENT: 4 Novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
347 of 500 DOCUMENTS
Décideurs Magazine
1 novembre 2017
Edition 1
LA PUBLICITÉ DANS LA JUNGLE DIGITALE
AUTEUR: THOMAS BASTIN
RUBRIQUE: STRATÉGIE; Pg. 36,37,38,39
LONGUEUR: 2500 mots
S'il ne l'est pas déjà, Internet est en passe de devenir le média dominant et les annonceurs ne s'y sont pas trompés. Pour retenir l'attention de leurs cibles et les attirer vers leurs produits, les marques se sont approprié, non sans heurts, les rouages complexes de la publicité en ligne.
Plus technologiques et plus précises selon les experts du milieu, les campagnes menées sur le Web restent critiquées pour leur manque de transparence bénéficiant à certains initiés.
Retour sur l'évolution d'un marché mêlant quête de notoriété et analyse de vie privée.
L' événement était attendu de longue date par les professionnels du secteur comme l'aboutissement d'un effort dont on se réjouit à l'avance. En 2016, les investissements dans la publicité digitale (display, search, e-mailing et comparateurs confondus) ont dépassé ceux destinés aux spots TV pour la première fois de l'histoire, devenant ainsi le premier poste de dépense des annonceurs. Si la bascule est symbolique, elle ponctue une mutation prévisible et cristallise des ambitions variées. L'année passée, ce sont 3,45 milliards d'euros qui ont été dépensés sur le Net par les annonceurs en France, soit 29,6 % des investissements publicitaires totaux selon PWC. Pour rappel, cette portion dépasse déjà les 50 % en Chine et n'atteignait, en 2014, que 25 % dans l'Hexagone, année durant laquelle le numérique a cependant pris le dessus sur la presse traditionnelle.
DE L'EUPHORIE À LA GUEULE DE BOIS Cette ascension irrésistible a été portée autant par des tendances de fond que par des promesses commerciales toujours plus alléchantes. D'une part, l'utilisation massive des smartphones permet aux Français d'être connectés partout et presque tout le temps. Cette quasi-addiction fait progresser chaque année le temps passé sur Internet et offre des perspectives radieuses aux publicitaires digitaux. D'autre part, la mise en place et la diffusion rapide des campagnes, leurs coûts maîtrisés en comparaison des budgets nécessaires pour les publicités télévisuelles et le caractère mesurable des résultats ont constitué autant d'arguments propres à séduire plus facilement encore les communicants. À cela s'ajoutent des progrès technologiques qui laissent espérer l'émergence d'une publicité ultra-personnalisée, où l'attention de chaque internaute sera captée par l'annonce pertinente en fonction de ses goûts, de son lieu de navigation et de son heure de connexion. Pourtant, à l'heure où l'euphorie du secteur devrait étourdir les analystes, les conclusions mi-figue mi-raisin l'emportent. Pire, les agences médias et les régies se lancent dans des manoeuvres inédites pour ne pas laisser échapper un marché qui leur semblait promis.
LA QUÊTE D'UN SECOND SOUFFLE Au premier rang des inquiétudes venues tempérer les effusions de joie, l'exaspération des internautes vis-à-vis des messages commerciaux sur le Net pose un problème majeur. Les ad-blockers continuent de figurer parmi les applications les plus téléchargées et constituent une menace exogène que les acteurs traditionnels ne parviennent toujours pas à contenir. Selon une étude Two Sides/Toluna publiée en octobre 2017, 68 % des Français trouvent les annonces en ligne gênantes et dépourvues d'à-propos. Face à ces constats douloureux, l'univers de la publicité cherche à se réinventer. Même s'il est tentant de justifier la présence d'annonces commerciales par la sauvegarde militante de la gratuité du Net, l'argument (souvent avancé et peu entendu) ne suffit pas. De même, les besoins de financements réguliers des éditeurs de presse ne sont pas de nature à attendrir. Le renouveau passe déjà depuis plusieurs années par la sophistication technologique et l'apport de solutions qualitatives ne portant pas atteinte au confort de navigation. Pour ce faire, une kyrielle d'intermédiaires est apparue, plus ou moins connue du grand public. Chacun porteur d'une promesse d'optimisation pour redynamiser le dialogue tripartite annonceur-agence-régie et offrir une plus-value au ciblage ou à l'expérience finale de l'internaute. Le résultat est sans appel : l'univers de la publicité numérique n'a plus rien à voir avec ce qu'il était il y a une dizaine d'années. Aux prémices de cette industrie, les directions de la communication des grandes sociétés ont souffert d'un certain nombre d'abus. Avec leurs moyens financiers importants, leur méconnaissance de l'univers numérique et leur impossibilité de suivre les effets de leurs campagnes, elles représentaient des proies faciles pour des agences et des éditeurs qui pensaient avoir déniché la poule aux oeufs d'or. Ces premières heures ont été sources de frustration et ont ouvert un boulevard aux nouveaux acteurs du secteur qui affirmaient vouloir rééquilibrer les rapports de force à l'aide, entre autres services, de rapports statistiques assurant transparence et lisibilité.
GOOGLE ET FACEBOOK SE DÉMARQUENT Qui capte ces investissements toujours plus massifs ? À ce petit jeu, Google et Facebook se démarquent. Le duopole qu'ils forment dans la publicité en ligne est même dénoncé par les autres parties prenantes du secteur. Les investissements des annonceurs se portent en majorité vers le search (c'est-à-dire les résultats de requêtes sponsorisés des moteurs de recherche, chasse gardée de Google) et le social (les annonces sur les réseaux sociaux, pré carré de Facebook). 68 % des dépenses des annonceurs digitaux en 2016 étaient ainsi captées par ces deux mastodontes et ce chiffre atteint même 92 % lorsque l'on se concentre sur le mobile d'après l'observatoire de l'e-pub. Les différents scandales autour de mesures d'audience erronées ou de brand safety (association d'une marque à un message violent, raciste ou qui va à l'encontre des valeurs de l'annonceur) n'ont pas ébranlé la confiance dont jouissent ces firmes américaines aux dizaines de millions d'utilisateurs et aux riches données comportementales. Parmi les plus de 500 autres intermédiaires du domaine, Criteo, le porte-étendard de la French Tech, a aussi développé ses affaires à grande vitesse. C'est son modèle de facturation à la performance et ses prestations reconnues dans le reciblage publicitaire, orientant les annonces vers les internautes les plus susceptibles d'être intéressés, qui l'ont propulsé vers le succès. Des acteurs comme Mediamath (lire interview pages suivantes) proposent également des solutions logicielles à destination des marques et de leurs agences afin que celles-ci puissent piloter au mieux la portée de leurs campagnes et leurs objectifs de rentabilité. Enfin, certaines sociétés comme Integral Ad Science ou Moat prospèrent grâce à leur offre d'audit concernant aussi bien l'audience touchée par les campagnes digitales que la qualité des inventaires achetés ou vendus.
SUCCÈS DU PROGRAMMATIQUE L'apparition d'intermédiaires variés et nombreux est indissociable de la montée en puissance du programmatique. Cette méthode d'achat, apparue en 2010, est fondée sur un système d'enchères en temps réel et automatisé (le real time bidding ou RTB). Selon une étude de Zenith Media, alors que 13 % de la publicité display (bannière, pavé, habillage d'un site) étaient achetés en suivant cette méthode en 2012, cette proportion a passé la barre des 50 % en 2016. Au départ, les communicants les plus avant-gardistes ont délaissé les négociations en gré à gré pour s'aventurer sur cette solution en rodage. C'est à cette époque que le programmatique a essuyé de nombreuses critiques dont les effets perdurent aujourd'hui : trop complexe, mal ciblé et trop concentré sur les espaces publicitaires de second rang. Au fil du temps, les données récoltées sur les internautes se sont étoffées et les inventaires proposés par les éditeurs ont gagné en valeur. L'approche par l'algorithme a fait la part belle aux entreprises de nouvelles technologies qui ringardisent les discussions directes et parfois complices entre régies et agences. Aujourd'hui, les éditeurs de sites tentent de faire grimper les prix à travers leur supply side platform (ou SSP) tandis que les annonceurs complètent les champs de leur demand side platform (ou DSP) afin d'optimiser leurs campagnes en matière d'exposition, de budget et de ciblage. L'objectif est de permettre aux marques de s'adresser à leurs prospects sans perdre d'énergie à chasser d'autres consommateurs moins stratégiques à leurs yeux.
Les deux parties sont ensuite mises en relation sur un ad exchange, une place de marché où l'offre et la demande se rencontrent en suivant des règles précises. L'enchère la plus haute en fonction de l'internaute ciblé et du format sélectionné remporte logiquement la mise mais l'annonceur paiera seulement un centime plus cher que la seconde meilleure proposition. Ce fonctionnement offre des gages aux annonceurs qui ne peuvent être piégés sur le prix à payer. En 300 millisecondes, soit le temps de chargement d'une page Internet, cette phase d'enchères mais aussi la sélection et la diffusion des produits pertinents peuvent s'effectuer. Outre la rapidité d'exécution, le niveau de sophistication de ces plates-formes ne s'arrête pas là. Pour améliorer la précision des stratégies de communication digitale, les SSP et les DSP sont reliées à des data management platform (ou DMP). Ces dernières agrègent les données disponibles sur le profil des internautes, en s'appuyant à leur tour sur de nombreux prestataires collecteurs de données. Leur objectif : déterminer avec quasi-certitude les meilleures cibles potentielles des campagnes à diffuser. Toutefois, malgré les discours séduisants, des biais demeurent. Plusieurs personnes aux profils différents peuvent ainsi utiliser le même terminal connecté, comme l'ordinateur fixe du foyer, et brouiller les recoupements d'historique de navigation. De même, le suivi de l'emplacement final des campagnes reste un défide taille. Il demeure presque impossible aujourd'hui de savoir si la publicité a été affichée en tête, à la marge ou en bas de page. Balayant ces objections, les promoteurs des solutions programmatiques connaissent un succès grandissant qui ne semble pas se tarir. Qu'importe si cela doit se traduire par la perte de relation directe entre annonceurs et régies.
GRAVITY, SKYLINE : LA RÉACTION ATTENDUE L'autre conséquence immédiate de la multiplication des intermédiaires est le partage de la captation de valeur par les acteurs traditionnels. Après avoir connu une forte croissance entre 2010 et 2016, les places de marché média comme Audience Square ou La Place Media voient leur avenir s'assombrir. Autrefois, ces interfaces entre annonceurs et régies offraient une offre d'inventaires variés sans promettre d'accès aux sites les plus réputés ou visités. Des investissements similaires pouvaient donc mener à des environnements de diffusion plus ou moins premium afin d'arriver à l'internaute visé. Peu satisfaites de ces solutions qui les privaient d'une partie des budgets de leurs clients, les grandes régies ont décidé de réagir en serrant les rangs. À l'été 2017, Gravity et Skyline ont ainsi été créées à quelques jours d'intervalle. En arrière-plan, la volonté de rétablir des marges s'ajoute à celle de contrer l'hégémonie des systèmes clos gérés par Facebook et Google. La première alliance a été scellée entre dixhuit sociétés du monde des médias et du e-commerce dont le groupe Les Échos, Lagardère Active ou encore SFR et Fnac-Darty. En regroupant leurs data et leurs inventaires, les membres de cette alliance visent le programmatique et peuvent toucher 44 % du Web français (à comparer avec les 60 % revendiqués par Google et les 70 % par Facebook). Pour sa part, Skyline est née de la décision des régies rivales du Figaro (Lefigaro.fr, L'internaute, Le Journal des femmes, Madame Figaro...) et du Monde (Lemonde.fr, Telerama.fr, L'Obs, Le HuffPost...) de mettre en commun leurs espaces publicitaires numériques. Les sous-régies intermédiaires sont ainsi évincées par cette plateforme aux inventaires exclusifs. « Sur un euro investi par l'annonceur, nous ne récupérons que 30 à 40 centimes », justifie Marc Feuillée, directeur général du Groupe Figaro. Cette alliance est un moyen pour ces éditeurs de reprendre le contrôle technique et commercial de leur offre tout en affirmant le positionnement haut de gamme et transparent de leurs régies. Deux mois après son lancement, trente annonceurs ont déjà investi plus d'un million d'euros à travers Skyline.
PROFILAGE ABUSIF : BRUXELLES INTERVIENT La prochaine révolution de ce secteur technologique pourrait venir de la Silicon Valley, mais aussi et surtout de Bruxelles. Le Règlement européen sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. Le profilage des internautes, qui laisse encore à désirer aujourd'hui, risque de devenir encore plus délicat avec ce nouveau texte visant à protéger la vie privée sur le Net. Apple avance aussi dans ce sens en travaillant sur une version de Safari, son navigateur internet, bloquant par défaut tous les cookies. Ces programmes récoltant les données sur les comportements en ligne des internautes sont pourtant indispensables à l'identification des habitudes et des profils des consommateurs derrière chaque terminal connecté... Une fois de plus, la créativité des marketeurs sera sollicitée. Cette fois-ci, il ne s'agira pas d'améliorer la notoriété d'une marque mais bien de réinventer les fondements d'un secteur que des années de croissance folle semblaient pourtant avoir rendu invulnérable.
THOMAS BASTIN Une question à... Merav Griguer, associée au sein du cabinet d'avocats Bird & Bird L'arrivée du RGPD menace-t-elle le profilage des internautes et l'avenir de la publicité en ligne ? Le RGPD prône davantage de transparence dans la gestion des données personnelles. À ce titre, il exige que la « cible » d'une publicité soit informée de l'existence même d'un profilage. Dès lors que ses données sont traitées à des fins de prospection, la personne concernée doit être en mesure de s'opposer à ce traitement. Ce droit d'opposition doit être porté à l'attention de l'internaute et présenté séparément de toute autre information. Toutefois, ce droit d'opposition ou opt out est à mettre en perspective avec la réglementation sur les cookies. La publicité en ligne suppose l'utilisation de cookies, ces « témoins de connexion » permettant d'analyser la navigation de l'internaute. Or, la pratique des cookies publicitaires est soumise à ce jour à l'opt in, c'est-à-dire au consentement des personnes, matérialisé via le bandeau sur les pages des sites. Le projet de règlement e-privacy entérine l'exigence de l'opt in. La pratique du bandeau serait abandonnée au profit d'un opt in exprimé en utilisant les paramètres appropriés d'un navigateur ou d'une autre application. Cependant, le consentement est renforcé par le RGPD et doit pouvoir être retiré à tout moment.
En 2016,
3,45 MD(EURO) ont
été dépensés
sur le Net par
les annonceurs
en France,
soit 29,6 %
des dépenses
publicitaires
totales
« Sur un euro
investi par
l'annonceur,
nous ne
récupérons
que 30 à
40 centimes »
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DMF
Copyright 2017 Décideurs Magazine
tous droits réservés
348 of 500 DOCUMENTS
Le Figaro Online
mercredi 1 novembre 2017 08:00 AM GMT
Pourquoi il est urgent de penser à son tombeau numérique
AUTEUR: Quentin Périnel; qperinel@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 1179 mots
ENCART: INTERVIEW - Après la mort humaine, la vie numérique continue. Les réseaux sociaux et autres algorithmes reliés à un défunt deviennent inactifs, mais existent. Me Florence Chafiol, avocate chez August Debouzy, explique au Figaro comment le droit s'adapte au phénomène.
Quelques semaines ou quelques mois après le décès d'un être humain, le «moi» numérique s'est lui aussi complètement éteint: nul signe de vie sur les réseaux sociaux... Si l'on ne lui communique pas l'information, l'intelligence artificielle de Facebook ou de Google est incapable de détecter qu'un utilisateur est décédé. Il n'est donc pas rare qu'elle décide d'envoyer à tous les «amis» et relations numériques du défunt une notification engageante pour lui suggérer de «prendre de ses nouvelles» ou pire, lui «souhaiter son anniversaire»... En 2017, la mort humaine et la mort numérique sont deux choses différentes même si elles concernent la même personne. Pourtant, dans les prochaines années, des dizaines de milliers de défunts continueront à vivre sur le web.
Gestion de funérailles numériques, e-testament, héritage de données numériques... Peu à peu, des entreprises commencent à créer des services liés au «marché de la mort» et innovent. En 2016, la loi pour une République numérique et son article 40-1 de la loi Informatique et libertéspermettait aux personnes de donner des directives relatives à la conservation, à l'effacement et à la communication de leurs données après leur décès.
Lire aussi: 10 start-up qui vous accompagnent face à la mort
Maître Florence Chafiol, avocate chez August Debouzy, et spécialiste des questions liées aux projets informatiques ou technologiques innovants, explique au Figaro comment le droit s'adapte à ces questions essentielles, pas encore complètement assimilées et comprises par les clients.
LE FIGARO. -La question de la mort numérique est-elle taboue ou bien devient-elle aussi triviale que de parler de la mort elle-même?
Maître Florence Chafiol. - Ce n'est pas un tabou mais nos clients (qui pour la plupart sont des personnes morales) ne mesurent pas encore l'intérêt d'insérer dans les contrats des clauses prévoyant d'organiser le sort des données personnelles après la mort de la personne concernée. La mort physique n'entraîne pas la mort numérique, et l'identité numérique d'une personne demeure après son décès. Et on peut parfois craindre, si cette problématique n'est pas prise en compte, qu'à terme il y ait plus d'utilisateurs morts que vivants. A noter que depuis la loi pour une république numérique d'octobre 2016, chaque individu doit être informé par celui qui va traiter ses données (le responsable de traitement) qu'il disposed'un droit de définir «des directives relatives au sort de ses données à caractère personnel après sa mort».
» Lire aussi: Après votre mort, un héritier pourra s'occuper de votre compte Facebook
Est-ce devenu une priorité juridique?
En ce qui concerne nos clients, la question de la mort numérique n'est pas leur priorité juridique du moment. Notre principale préoccupation à l'heure actuelle découle de l'intense actualité réglementaire en matière de données personnelles (application du RGPD le 25 mai 2018) et consiste à sensibiliser les clients et internautes sur l'usage qu'ils font de leurs données de leur vivant et sur l'usage qui en est fait par leur employeur, leur opérateur téléphonique etc. En effet, le RGPD oblige les responsables de traitement à délivrer une quantité importante de précisions aux individus afin qu'ils soient informés de manière claire et transparente de l'usage qui est fait de leurs données (qui y a accès? pendant combien de temps? pourquoi? Où sont les données etc.).
La problématique de la mort numérique a donc été un peu reléguée au second plan ; elle devient tout de même incontournable en raison de la prépondérance des usages numériques au quotidien. C'est l'un des sujets phares qui est sorti de la consultation citoyenne pour l'adoption de la nouvelle Loi pour une République numérique de 2016 mais nous n'en avons encore pas encore assez parlé.
Les clients saisissent-ils l'importance de l'héritage numérique?
Non pas du tout, et pourtant bien souvent les personnes/héritiers ignorent ou ne se rendent pas compte des difficultés que peuvent représenter l'organisation de l'identité numériquedu défunt car ses droits personnels s'éteignent à sa mort et ne sont pas transmis aux héritiers.
En effet, les héritiers ne peuvent y avoir accès. Certains services comme Paypal peuvent permettre aux utilisateurs de «stocker» des fonds sur la plateforme. Pour obtenir la clôture du compte et les fonds restants, les héritiers doivent justifier de l'identité du défunt, son certificat de décès et son testament, ce qui est un processus compliqué que les héritiers n'ont pas nécessairement à coeur de gérer compte tenu du contexte.
Ainsi pour éviter un lourd parcours administratif, il semble opportun d'organiser le sort de ses données de son vivant, en communiquant à un tiers de confiance ses identifiants, cela permettra d'éviter les divergences de décision des héritiers lors d'une succession. D'où l'obligation pour les responsables de traitement, dans le cadre de la loi pour une république numérique, d'informer les personnes concernées qu'elles disposent de ce droit.
» Lire aussi: Comment éviter les abus dans les prestations funéraires après le décès d'un proche
» Lire aussi: Obsèques: les écarts de prix pointés du doigt
Que peut faire concrètement le droit pour faciliter la mort numérique?
Il semble important qu'à l'avenir les autres branches du droit comme le droit des contrats et le droit des successions anticipent la problématique de la mort numérique pour répondre aux nouveaux besoins exprimés par les personnes et qui intègrent les données personnelles comme l'une des composantes de l'héritage dans un testament. Le notaire pourra alors jouer un rôle de conseil sur l'opportunité de mentionner également la transmission de l'identité numérique avec les différents identifiants et mots de passe de la personne.
Si l'on se projette à 10, 15 ou 20 ans, le testament numérique sera-t-il complètement démocratisé?
Cela dépendra beaucoup des décisions opérées par les différents acteurs du secteur du numérique et de leur capacité à intégrer cette problématique sans uniquement se limiter à des conditions générales d'utilisation qui en feraient mention. On pourrait par exemple imaginer des modules facilement accessibles et qui permettent aux utilisateurs de gérer aisément le sort de leurs données.
Certains réseaux sociaux permettent déjà des options de paramétrage. Sur Facebook il est possible de désigner un légataire à qui reviendra la gestion du compte de la personne après sa mort avec une procédure de demande de suppression de compte. Sur le même modèle, Google a également mis en place un «gestionnaire de compte inactif» qui permet d'indiquer la personne qui doit avoir accès aux informations et si oui ou non le compte doit être supprimé.
Il existe par ailleurs des solutions de «coffre-fort numérique» qui permettent de stocker ses informations et qui peuvent être ouverts à la mort de son propriétaire par les ayants-droit. Mais il faudrait que l'effort soit collectif pour que le testament numérique soit véritablement démocratisé.
» Lire aussi: Une «appli» pour fleurir les tombes des morts à distance et toute l'année
DATE-CHARGEMENT: 1 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
349 of 500 DOCUMENTS
Décideurs Magazine Online
mardi 31 octobre 2017
Du droit à l'oubli mondial
LONGUEUR: 729 mots
ENCART: Alors que la Cour suprême canadienne vient de consacrer la portée mondiale du droit au déréférencement, la CJUE est saisie de plusieurs questions préjudicielles quant à son interprétation. Une décision qui pourrait aiguiller la juridiction européenne, à l'aube de l'entrée en vigueur du règlement général sur la protection des données (RGPD).
C'est à l'occasion d'une affaire de contrefaçon que la Cour suprême du Canada a ouvert la brèche et reconnu la portée mondiale du déréférencement. Tout commence lorsque la société canadienne Equustek intente une action en justice contre Datalink pour contrefaçon de ses produits et obtient sa condamnation. Plusieurs sanctions contre la société fautive suivent mais celle-ci poursuit son commerce frauduleux sur Internet. Equustek décide de réagir en faisant jouer son droit au déréférencement et demande au juge canadien que les liens renvoyant vers le site Datalink présents sur Google soient supprimés. Le moteur de recherche demeurait en effet un intermédiaire permettant à Datalink de poursuivre la vente de ses produits illégaux.
Une injonction est alors adressée à Google pour qu'il supprime les liens internet en question. Celui-ci accepte d'y procéder pour Google Canada mais refuse d'en faire autant au niveau international. Ce qui pose un problème de taille : non seulement les clients hors du territoire canadien peuvent continuer à acheter les produits contrefaits mais les Canadiens peuvent aisément retrouver les pages web, alors même qu'elles ont été retirées de google.ca. Condamné à payer une amende, le géant de la Toile se pourvoit en cassation. La juridiction suprême canadienne est ainsi saisie de l'affaire pour son volet national mais aussi pour ses extensions de nom de domaine. En juin dernier, elle confirme que les tribunaux canadiens peuvent prononcer une telle mesure à l'égard d'un tiers et que les effets sont extraterritoriaux voire mondiaux, la juridiction faisant prévaloir la portée internationale d'Internet.Une portée encore incertaine en Europe
Outre-Atlantique, le problème d'interprétation du droit à l'oubli se pose encore. Pure création jurisprudentielle, il a été consacré de ce côté-ci de l'océan dès 2014 par la CJUE dans un arrêt Google Spain. Les juges se sont basés sur la directive européenne de 1995 (relative à la protection des données personnelles) pour considérer que le respect des dispositions qu'elle contient suppose que toute personne ait le droit d'obtenir le déréférencement de données ou d'informations la concernant. En d'autres termes, l'exploitant d'un moteur de recherche doit, si un individu le demande, supprimer de la liste les résultats obtenus après une recherche effectuée avec le nom de cette personne. Sont également concernés les liens renvoyant vers d'autres pages publiées par des tiers et contenant des informations relatives au requérant. La Commission nationale de l'informatique et des libertés (Cnil) utilise d'ailleurs cette construction jurisprudentielle en 2015 pour mettre Google en demeure de supprimer la liste de résultats laissant apparaître le nom d'une personne ayant exercé son droit à l'oubli. Précision importante : le régulateur vise aussi les extensions de nom de domaine de Google. Un moyen de prôner l'application du déréférencement à l'échelle mondiale. Ignorant cette demande d'exécution dans le délai imparti, Google est sanctionné par la Cnil à verser une amende de cent mille euros. Formant un recours, l'affaire se retrouve devant le Conseil d'État.
Les enjeux Le juge administratif français sursoit alors à statuer sur l'affaire Google et renvoie quatre questions préjudicielles à la CJUE. La raison ? Les difficultés d'interprétation du droit de l'Union européenne pour procéder au déréférencement. L'objectif est donc de savoir s'il doit seulement être opéré sur l'ensemble des extensions nationales du moteur de recherche ou s'il doit aussi concerner les extensions hors du champ d'application territorial du droit de l'UE. Ce ne sera qu'après la réponse à ces questions que le sort de Google sera scellé. Bien plus que la résolution d'un litige, c'est aussi un véritable enjeu pour la bonne application du droit de l'UE dont il est question. Reconnaître une portée plus large au déréférencement semble logique puisque Internet ne connaît aucune frontière.
La décision en ce sens de la Cour suprême du Canada marque la volonté d'encadrer le droit à l'oubli. La future décision de la CJUE est d'autant plus attendue qu'en mai prochain, le RGPD entrera en vigueur. Bien que le texte consacre expressément le droit au déréférencement, sa portée territoriale reste une zone d'ombre majeure. Reste à savoir si la CJUE aura fait la lumière sur l'affaire d'ici là.
Marine Calvo
DATE-CHARGEMENT: 9 novembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Leader's League
tous droits réservés
350 of 500 DOCUMENTS
La Tribune
Jeudi 26 Octobre 2017
Société Générale nomme un gardien des données avant le RGPD
AUTEUR: Delphine Cuny
RUBRIQUE: ENTREPRISES; Pg. 49
LONGUEUR: 718 mots
ENCART: A la veille de l'entrée en vigueur de la nouvelle réglementation européenne sur les données, en mai prochain, la banque se dote d'un Data Protection Officer pour tout le groupe, Antoine Pichot. La SG, qui emploie 500 experts de la donnée, veut mieux exploiter cet "actif stratégique".
RGPD (ou GDPR en anglais) est un acronyme casse-tête depuis des mois pour de nombreux grands groupes de tous secteurs qui doivent se mettre en conformité avec le nouveau Règlement général sur la protection des données, qui entrera en vigueur le 25 mai 2018 au sein de l'espace européen. Ce texte rend, entre autres, obligatoire la désignation d'un Data Protection Officer (DPO) chez les entreprises et administrations ayant recours à des données personnelles. La Société Générale vient d'annoncer la nomination de son DPO, délégué à la protection des données en français, Antoine Pichot. Ce pur produit maison, entré à la Soc Gen en 1996, était depuis 2015 co-directeur de la stratégie, du digital et de la relation client dans la banque de détail en France. Il est désormais rattaché à la direction de la conformité du groupe.
« Le banquier du village discute de choses très intimes et personnelles avec son client. Cela fait partie historiquement de la culture d'une banque de traiter de données personnelles et de ne pas les divulguer. Nous manipulons des masses de données depuis des années et nous avons développé un savoir-faire en matière de sécurité. Nous devons faire évoluer notre protection des données pas seulement pour nous mettre en conformité avec RGPD mais avant tout pour répondre aux interrogations de clients, dont le régulateur se fait le porte-voix. C'est un enjeu stratégique majeur pour la Société Générale », a-t-il fait valoir lors d'une rencontre avec la presse ce mardi. Un actif stratégique encore peu exploité Le nouveau gardien des données, qui sera l'interlocuteur privilégié de la Commission informatique et libertés (Cnil), aura pour mission d'aider les différentes entités métiers à décliner la politique de la donnée et à se l'approprier très en amont, dans la conception même des produits ou services, qui devront être conformes au RGPD par défaut.
« Le RGPD crée des droits nouveaux ou renforcés pour le client, le droit d'accès aux données, de les corriger, la portabilité, le droit à l'oubli, et des responsabilités nouvelles pour la banque. Il faut un consentement éclairé, explicite, sans équivoque : ce n'est pas "qui ne dit mot consent", la case pré-cochée, ce n'est pas conforme ! », a-t-il expliqué. Le nouveau règlement européen impose également un devoir d'alerte en cas de fuite de données, auprès du régulateur, dans un maximum de 72 heures (ce délai n'existait pas jusqu'ici) et auprès des clients en fonction de la gravité des données compromises. La mise en conformité avec RGPD « coûte des dizaines de millions d'euros » a indiqué Bernardo Sanchez Incera, le directeur général délégué du groupe Société Générale. La banque n'a pas vraiment le choix et ne veut pas laisser le champ libre aux GAFA (Google, Amazon, Facebook, Apple) sur ce trésor de données qu'elle possède et exploite encore peu.
« La gestion de la donnée est dans l'ADN de Société Générale depuis toujours. Nous nous transformons en profondeur pour mieux valoriser et protéger cet actif stratégique pour le groupe » a déclaré le dirigeant, qui supervise la banque de détail. La banque de La Défense affirme employer « 500 data experts », dont près d'un tiers de data scientists, et dispose d'un « data lake de plusieurs pétaoctets de données » (une plateforme de données de plusieurs millions de milliards d'octets), a indiqué Xavier Lofficial, le directeur de la transformation, des processus et des systèmes d'information. La Société Générale teste différents cas d'usage de la data : par exemple en analysant l'historique de navigation de ses clients sur ses sites Web pour identifier les plus susceptibles de changer de banque. Un test anti-attrition que se serait révélé très probant. Autres cas d'usage : l'analyse plus fine du risque pour l'octroi de crédit à la consommation ou l'envoi de propositions ciblées plus pertinentes directement dans l'application mobile. Le responsable de la stratégie, du digital et de la relation client dans la banque de détail Bertrand Cozzarolo a résumé l'approche : « nous voulons devenir un e-commerçant. »
Veiller à la conformité du groupe bancaire à la réglementation européenne sur la protection des données (RGPD), applicable en mai 2018, sera la mission d'Antoine Pichot, le nouveau Data Protection Officer, délégué à la protection des données.
DATE-CHARGEMENT: 25 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
351 of 500 DOCUMENTS
Revue Banque
26 octobre 2017
Open banking : les prémices d'une standardisation
LONGUEUR: 696 mots
La mise en place d'un environnement d'open banking, tel que promis par la DSP 2, implique que les systèmes d'information (SI) des différentes parties prenantes - banques d'un côté, agrégateurs de comptes et initiateurs de paiement de l'autre - puissent communiquer. Plus les SI parleront le même langage, plus efficace sera l'écosystème. C'est en substance l'objectif poursuivi par les standards d'API[1] que l'industrie est en train de concevoir. Plusieurs initiatives, à vocation européenne, sont en cours. La dernière en date, celle du Berlin Group (à laquelle participent STET et Société Générale), a soumis à consultation début octobre des normes communes pour coder ces API. En juillet dernier, c'était d'un côté la Place britannique via l'Open Banking Implementation Entity et, de l'autre, la Place française via STET, qui publiaient des spécifications similaires. Mandatée par ses actionnaires bancaires, STET a ainsi travaillé avec les six principaux établissements hexagonaux pour mettre au point des normes d'API répondant strictement aux prérequis de la DSP 2 : « la documentation technique que nous avons publiée est open source et peut être utilisée par l'ensemble des acteurs. Nous travaillons à la promouvoir en Europe », explique Rodolphe Meyer, directeur marketing et développement de STET.
Le risque de fragmentation
Trois standards pour un même type d'API, n'est-ce pas deux de trop ? « Aujourd'hui, les tiers de paiement fonctionnent en screen scraping, ce qui équivaut à 4 000 interfaces différentes. Est-ce bien grave qu'il y ait un standard par pays ? Il faut poursuivre la standardisation mais ces initiatives sont déjà un progrès », argumentait fin septembre lors du Workshop Revue Banque Alain Benedetti, qui suit le dossier chez BNP Paribas. « Conceptuellement, un standard unique serait une bonne chose, mais il est certain qu'il faudra composer avec plusieurs », se résigne Bruno Cambounet, chez Axway. Par ailleurs, rien n'empêche les banques - en tout cas non britanniques - de créer leur API en dehors de tout standard. C'est l'option que privilégie le groupe paneuropéen ING. « Nous voulons disposer d'une interface centrale qui fonctionne dans l'ensemble des pays où nous opérons », explique Éric Tak, directeur des paiements du groupe hollandais, avant de regretter le fait que « des sous-standards locaux risquent de rendre in fine très difficile, pour les acteurs innovants, le déploiement de leur offre à l'échelle paneuropéenne ». Une forte fragmentation du marché viendrait contrecarrer l'un des objectifs poursuivis par l'Europe avec la DSP 2 - l'accroissement de la concurrence - et forcerait les autorités à réagir. Déjà début octobre, la Commission a montré sa sensibilité aux questions de concurrence en menant des inspections surprises au sein d'institutions ou associations bancaires suspectées de bloquer l'accès aux comptes par des tiers. Les Pays-Bas et la Pologne ont confirmé faire l'objet d'une enquête.
Au-delà des API
Cette détermination européenne à ouvrir le secteur des services bancaires va de pair avec celle, à première vue contradictoire, de renforcer la sécurité du système et la protection des données - à travers le RGPD principalement. Cet aspect essentiel de l'open banking est jusqu'ici abordé de manière assez conflictuelle par les différents protagonistes, ceux qui tiennent les comptes et ceux qui veulent y avoir accès. « Il faut garder à l'esprit que la question des API et de leurs standards ne sont que la partie émergée de l'iceberg en matière d'open banking, insiste Bruno Cambounet. Une fois ces questions d'accès réglées, les acteurs, établissements historiques ou nouveaux entrants, pourront s'atteler au fond du sujet et travailler main dans la main par exemple sur les questions de sécurité, comme c'est déjà le cas au Royaume-Uni. » Tout en oeuvrant chacun de leur côté à une offre différenciante. « Toutes essentielles qu'elles soient, les données du compte bancaire ne sont que du carburant que l'on utilisera indifféremment dans une 2 CV ou une Ferrari, illustre Bruno Cambounet. La différence entre les deux véhicules, ce sera l'expérience client que l'on saura créer à partir de ces données. »
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
352 of 500 DOCUMENTS
Stratégies
26 octobre 2017
Edition 1;
National Edition
Leur poste vaut de l'or;
TÉMOIGNAGES Ils sont les visages des métiers les plus demandés dans l'univers du web et du marketing. Qu'ils soient chef de projet, consultant, trafic manager ou spécialiste du « search engine advertising », ils sont au coeur de la rencontre entre le digital et la data.
AUTEUR: GILMAR SEQUEIRA MARTINS
RUBRIQUE: DOSSIER MÉTIERS; Pg. 30,31,32,33
LONGUEUR: 2612 mots
Consultant transformation digitale JOANNA POMIAN consultante en transformation digitale chez SQLI Attention, ce métier est particulier, prévient Joanna Pomian, consultante en transformation digitale désormais à la tête d'une practice de 30 collaborateurs chez SQLI : « Il faut aimer les problÈmes des autres, être curieux(se) et accepter de ne pas pouvoir apporter immédiatement une réponse à une demande. Exercer cette fonction exige une expérience du digital mais aussi, plus fondamental encore, une bonne connaissance des organisations. C'est un profil de mouton à cinq pattes. » Autant être bien armé(e) en effet car les missions sont diverses et complexes. Le consultant en transformation digitale pose d'abord un diagnostic à partir d'un référentiel qui, selon les cas, peut aller d'une vingtaine à une cinquantaine de thématiques.
Il construit ensuite des « ateliers d'inspiration » afin de présenter des pratiques extérieures dans le but de faire évoluer les points de vue. Vient alors le travail sur le parcours client. « Il s'agit de refonder l'expérience client en identifiant les éléments de friction et de faire évoluer la stratégie en apportant de nouvelles propositions de valeur », résume Joanna Pomian. Mais l'essentiel de la transformation digitale repose sur l'humain : « Le plus important est de faire adhérer les collaborateurs. Il doivent avoir une compréhension profonde des enjeux de la transformation digitale et de la nécessité d'une nouvelle stratégie client ainsi que de nouveaux outils. C'est seulement aprÈs que survient la formation à ces nouveaux outils. » Spécialiste SEA SYLVIE GAGEIRO chargée de l'équipe de spécialistes SEA de Fifty-Five Vous aimez la stratégie, la technique, l'analyse des données, les échanges, les environnements en perpétuelle évolution et vous avez une bonne plume ? Si c'est le cas, alors vous avez les atouts pour devenir un spécialiste SEA [Search engine advertising]. « C'est la personne qui élabore une stratégie de référencement payant, essentiellement sur Google, Bing et Yahoo pour la France, explique Sylvie Gageiro. Il s'agit de mettre en place la meilleure visibilité du client sur les moteurs avec des liens sponsorisés en fonction de mots-clés définis. » Une mission qui exige de bien comprendre le secteur du client et son offre, mais aussi de savoir définir les mots-clés, le niveau d'enchÈre, la zone de diffusion ainsi que le wording des annonces. « Il faut savoir privilégier un style concis et direct car le nombre de caractÈres est limité », précise Sylvie Gageiro. Aucune campagne ne ressemble à une autre car les clients ont des objectifs (performance, visibilité, génération de trafic à moindre coût) et des budgets trÈs variés... « Il faut une formation solide sur les plates-formes de référencement payant, mais également connaître les outils de webanalyse comme Google Analytics, les outils de BidManagement, avoir une connaissance suffisante du tracking media, de l'attribution etc. Il faut posséder un trÈs bon relationnel et être pédagogue car les échanges avec le client sont réguliers et enfin, savoir vulgariser un métier avec de forts aspects techniques », conclut-elle.
Chef de projet trafic management MARINE DUTRIEUX consultante performance digitale chez Keyrus « Un bon trafic manager, c'est comme un bon directeur commercial, mais on line », résume Marine Dutrieux. Les titulaires du poste doivent en effet être capables d'acquérir du trafic mais aussi de l'analyser pour savoir quel budget affecter à quel levier d'acquisition. Savoir lire les chiffres est essentiel, rappelle-t-elle : « Cela permet de savoir combien coûte chaque prospect et chaque client. » Dans la vaste palette d'outils disponibles, les plus utilisés en général sont le référencement naturel, puis payant, le e-mailing et le social media. Mais les stratégies peuvent être trÈs différentes : « Certains clients sont trÈs forts en référencement naturel et n'investissent pas du tout en social media, par exemple. » Aucun outil ne doit pour autant être dédaigné, souligne-t-elle : « Le e-mailing reste efficace, à condition d'avoir une base de données bien structurée et un message avec une vraie valeur ajoutée. Dans ce cas, il y a du trafic et de la transformation. Il est aussi possible d'avoir recours à l'affiliation, au retargeting ou au social media pour acquérir du trafic. Tout est fonction des objectifs et du budget. » Un métier de passion mais pas seulement : « Il faut beaucoup de rigueur pour optimiser les campagnes et filtrer le trafic non qualifié, par exemple. Et aussi aimer l'analytics pour comprendre ce qu'il s'est passé, être force proposition et savoir s'adapter à des clients avec des maturités différentes. » Community manager TONY MARDIROSSIAN community manager chez BETC digital Un métier « Shiva » pour ceux qui aiment traiter en parallÈle des dossiers avec des contraintes différentes. Le community manager gÈre en effet plusieurs marques simultanément sur plusieurs réseaux... Et assume divers rôles, explique Tony Mardirossian : « Je dois gérer la modération des propos que les internautes envoient sur les pages. J'ai aussi une mission d'animation, en reprenant certains commentaires et en y répondant. Le troisiÈme volet de ma mission est la relation client. La plupart des gens utilisent de préférence les réseaux sociaux pour signaler leurs problÈmes. Pour accélérer le process, nous leur demandons leurs coordonnées et la référence produit et nous l'envoyons directement au SAV. » Et chaque mois, il établit un reporting mensuel qui permet de tirer des « key learnings ». Au quotidien, le community manager travaille avec les équipes créatives avec lesquelles il élabore les idées des posts proposés et les activations, mais aussi les commerciaux en charge du client, les équipes médias qui gÈrent la sponsorisation des posts, et le social media strategist qui est l'ambassadeur de la marque. « Il faut être créatif, curieux, organisé et méthodique, résume Tony Mardirossian. C'est un métier avec des missions trÈs diverses, aucune journée ne ressemble à une autre et le résultat de nos actions se voit rapidement. Le plus étonnant est de pouvoir travailler en même temps pour trois clients de domaines complÈtement différents sans jamais perdre le fil. » Chef de projet digital MICHAËL KORSEC chef de projet digital chez BETC digital Le chef de projet digital se distingue de toutes les autres fonctions du digital par une spécificité qui n'a rien de technologique, explique Michaël Korsec, chez BETC digital : « C'est un métier où l'on est responsabilisé sur le respect du planning et du budget. » Un art d'autant plus difficile que les objectifs sont trÈs variés - applis, site, refonte d'un programme CRM - et qu'un projet compte au minimum six étapes : le cadrage ou scope of work, qui définit le domaine d'intervention ; puis la conception, avec les UX designers, les planners et le client ; ensuite, la création elle-même afin de donner une tonalité émotionnelle au parcours client ; la production lors de laquelle les développeurs sont briefés avec des « spécifications » ; le recettage, qui permet de tester ; enfin, la mise en ligne. « Il faut aimer travailler en groupe, s'assurer que chacun est dans le bon mind set et satisfait, prévient Michaël Korsec. Les difficultés sont mieux gérées et le travail est de meilleure qualité. Il faut savoir faire preuve d'empathie parce qu'on challenge beaucoup les gens. C'est un travail de funambule. Le plus important, c'est de rester ouvert et curieux, cela permet de découvrir les expertises et les personnes et d'apprendre. » Sans oublier d'être patient en vue d'accumuler de l'expérience, un atout précieux : « Elle permet de mieux anticiper et de mieux comprendre les délais nécessaires notamment chez les clients. » Chef de projet e-commerce LAÏKA MOUSSA chef de projet e-commerce front end chez Ubisoft Un projet e-commerce a deux faces : le front et le back end. D'abord développeuse, Laïka Moussa a voulu évoluer : « Je me sentais parfois frustrée de ne voir qu'une partie du scope. J'avais envie d'une vision plus globale et d'échanges avec plus d'interlocuteurs. » Depuis six ans, elle est chef de projet e-commerce front end, une mission à l'horizon plus large : « Globalement, je prends en charge ce que verra le client final. Chaque projet se déroule en plusieurs phases. J'analyse le besoin - un design fourni par une agence ou une demande d'un service interne -, ce qui amÈne de nombreux échanges avec les différents interlocuteurs. Je transmets ce besoin aux développeurs, et je reste présente pendant la phase de développement et de test, jusqu'à la mise en ligne. La derniÈre phase consiste à suivre le projet aprÈs sa mise en ligne, pour l'adapter, si besoin, le faire évoluer et lui apporter de nouvelles fonctionnalités. » La difficulté majeure de cette fonction : le planning. « Même aprÈs six ans dans ce métier, cela reste difficile, souligne Laïka Moussa. Les méthodes de travail évoluent, de nouvelles technologies apparaissent en permanence et amÈnent des problématiques toujours différentes. » Contre toute attente, devenir chef de projet e-commerce n'implique pas de prérequis informatiques poussés. Certains sont issus d'une école de commerce, d'autres ont suivi une formation d'ingénieur. L'essentiel est ailleurs, estime Laïka Moussa : « Il faut un bon sens de l'organisation, le sens du contact et de la pédagogie. » Chef de projet webmarketing BENOÎT HERVIER chef de projet webmarketing (intérimaire de Expectra) Véritable homme-orchestre, le chef de projet webmarketing doit avoir une vision trÈs 360, explique Benoît Hervier au fil des missions que lui confie le cabinet Expectra : « Je dois gérer le contenu de sorte que la durée et le nombre de visites augmentent mais aussi assurer le meilleur référencement possible, en SEO [search engine optimisation] et en SEA [search engine advertising], et coordonner les différents intervenants afin de maîtriser le planning et le budget des projets. » Avec toujours en tête un principe inaltérable : « Captiver l'internaute est l'objectif général qui guide mon action. » Une mission vaste qui exige d'être pro-actif, une qualité indispensable pour anticiper les problÈmes et maximiser ainsi leur taux de résolution, mais aussi de connaître l'environnement technique concret dans lequel seront déployés les outils, et d'être un bon communicant. Un projet, c'est avant tout des interactions humaines, rappelle Benoît Hervier : « Pour bien gérer un projet, il faut rencontrer les gens pour les connaître un peu, savoir comment ils travaillent, ce à quoi ils sont sensibles et ce qu'ils ne supportent pas... » Le métier est certes complexe mais attachant et instructif : « J'aime la forte dimension humaine de cette fonction. Il faut en permanence rencontrer et trouver des solutions avec des personnes trÈs différentes. C'est aussi un métier qui bouge beaucoup et qui demande de s'adapter constamment. » Infographiste webdesigner SOPHIE NOAN directrice artistique en charge du digital chez HémisphÈre Droit « Le webdesigner est la passerelle entre le concept et la réalisation technique, résume Sophie Noan, qui a occupé ce poste avant de devenir directrice artistique en charge du digital de l'agence HémisphÈre Droit. Sa mission principale est de mettre en oeuvre les idées du DA et de designer l'interface. » Il intervient pourtant trÈs souvent dÈs le début du projet et les échanges avec tous les acteurs du process sont réguliers. « Le webdesigner apporte une expertise sur la faisabilité des demandes, il peut enrichir le concept, et il contribue à l'élaboration des solutions techniques », précise Sophie Noan. Maîtriser sur le bout des doigts la suite Adobe (Illustrator, Photoshop, Sketch, Dreamweaver, After Effects, InDesign) ne suffit pas : il est important de connaître les outils et langages de développement pour déterminer quelles interactions sont possibles ou non. Le plus souvent, le webdesigner livre un fichier Photoshop. « C'est une fonction qui exige une grande rigueur : il faut être "pixel perfect". Cela facilite le travail en aval du développeur. » La curiosité est de mise, de même que le goût du travail en équipe, tout en exerçant une veille créative et technologique permanente. Mais la satisfaction est au rendez-vous, souligne Sophie Noan : « Pour qui vient du print, c'est trÈs motivant de repousser les limites, d'inventer de nouvelles solutions technologiques. » Même si, parfois, la frilosité des clients expose à la frustration.
Chef de projet data THIBAULT MELKI consultant data chez iProspect Data Consulting Un seul métier, mais deux volets distincts, explique Thibault Melki : « C'est une fonction qui comprend une partie opérationnelle et une partie consulting. Dans la partie opérationnelle, nous collectons la data, nous la segmentons en différents clusters - par exemple : les 15-25 ans -, puis ces segments d'internautes peuvent être envoyés à différentes plates-formes dites DSP [Demand Side Platform] qui vont les exposer à des messages publicitaires. Dans la partie consulting, nous effectuons des audits pour établir la maturité du client vis-à-vis de la data, l'aider à construire son patrimoine data. Cela passe par l'identification des données, leur localisation, l'analyse des process déjà en place, mais aussi ses objectifs. » Pour nombre d'entreprises ayant du mal à amorcer leur transformation digitale, un consultant data est aussi amené à s'impliquer dans l'accompagnement au changement. « Deux à trois mois sont parfois nécessaires avant d'entrer dans le vif du sujet sur la data », révÈle Thibault Melki. Sans oublier un vaste pan juridique qui aborde toutes les questions relatives aux réglementations en vigueur, mais aussi la mise en place du RÈglement général sur la protection des données [RGPD]. Une diversité de missions qui implique une forte implication, souligne Thibault Melki : « Il faut avoir une vision globale du fonctionnement de la publicité digitale mais aussi comprendre les outils, comment ils échangent les données, ainsi que les flux de données, de la collecte jusqu'à l'activation. » PAUL COLIN UX designer chez Makheia Véritable avocat de l'internaute, l'UX designer fait tout pour rendre son « expérience » plus agréable... et performante. Il est de plus en plus sollicité pour effectuer des audits de sites existants, analyser l'architecture de l'information. Viennet ensuite l'étude de chaque profil utilisateur (persona) ainsi que la phase d'identification des différents points de contact que ces derniers ont avec la marque. « Cela permet notamment d'établir une "experience map" et de créer des nouveaux parcours clients », explique Paul Colin. À cette phase succÈde la conception proprement dite où s'élabore le « wireframe » [maquette fonctionnelle], puis la réalisation du prototype. S'il échange beaucoup avec le DA [Directeur artistique], fonction liée à l'expérience utilisateur, le UX designer suit tout le parcours d'un projet afin de s'assurer que les préconisations initiales sont bien mises en oeuvre. Dans ce domaine de pointe, inutile d'espérer se reposer sur ses lauriers : « Il faut mener une veille constante sur les best practices UX et être au fait des limites techniques des technologies utilisées pour trouver des solutions ou aboutir à des compromis », souligne Paul Colin. Ce qui ne l'empêche pas d'apprécier son travail : « J'aime ce métier car il demande une bonne compréhension du comportement des internautes mais aussi de l'empathie : se mettre à la place de l'autre est indispensable. C'est un challenge d'autant plus difficile quand il s'agit de gens proches de vous. Et puis il faut savoir jongler entre digital et marketing. »
DATE-CHARGEMENT: October 26, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: © Getty Images
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
353 of 500 DOCUMENTS
Trends/Tendances
26 Octobre 2017
La bataille des cookies;
Les fichiers espions dans la ligne de mire
AUTEUR: Frédéric Brébant
RUBRIQUE: Pg. 19
LONGUEUR: 515 mots
Les éditeurs de presse tirent la sonnette d'alarme : la future directive européenne sur la protection des données personnelles risque de mettre à mal leur « business model ».
Presse en danger
La date butoir se rapproche tout doucement. Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur au sein de l'Union européenne. A cette date, les entreprises et administrations des 27 pays membres devront être en conformité avec ce nouveau texte destiné à mieux encadrer la collecte de données personnelles des citoyens européens, ce qui inquiète bon nombre d'éditeurs de presse. Selon eux, le projet de nouveau règlement ePrivacy sur la vie privée et les communications électroniques, qui complète le RGPD, risque en effet de menacer le modèle économique des journaux et des magazines en ligne.
Concrètement, cette nouvelle réglementation va offrir l'opportunité à chaque internaute, dès sa première connexion à un navigateur internet, d'accepter ou non les cookies, ces petits fichiers espions qui recueillent des informations sur son comportement numérique. A priori inoffensifs, ces « mouchards » sont d'une grande utilité pour les annonceurs qui peuvent ainsi cerner les centres d'intérêt du consommateur et lui envoyer dès lors de la publicité ciblée.
La Commission européenne veut donc remettre de l'ordre dans la protection des données personnelles. Plus contraignant, le nouveau texte proposé par l'exécutif européen veut ainsi imposer « le principe du consentement préalable » des consommateurs qui devront valider en amont toute exploitation potentielle de leurs données. Les éditeurs de presse craignent le pire : un rejet massif des cookies par les internautes et donc un ciblage publicitaire beaucoup moins pertinent à l'avenir pour les annonceurs, ce qui nuirait in fine au financement des groupes médias en Europe dont le business model repose principalement sur la publicité.
« En empêchant l'utilisation des cookies sur les sites de presse à partir de l'installation du navigateur, les législateurs européens vont consolider la domination de quelques acteurs technologiques qui auront un contrôle total sur l'ensemble du marché européen des données », ont réagi l'European Magazine Media Association (EMMA) et l'European Newspaper Publishers' Association (ENPA) dans un communiqué commun, ajoutant : « Cela exclura de facto les acteurs européens numériques de petite et de moyenne taille et cela affectera dès lors la concurrence en Europe ». Traduction : les GAFA - et en particulier Google et Facebook qui trustent déjà plus des deux tiers des revenus de la publicité digitale en Europe avec leur force de frappe ciblée - vont encore monter en puissance au détriment des éditeurs de presse qui seront affaiblis si jamais le nouveau règlement ePrivacy est adopté tel quel. La bataille des cookies, cependant, n'est pas encore perdue. La phase des débats au Parlement européen ne fait que commencer avec son lot d'amendements à la clé qui pourraient faire évoluer le texte, avant son adoption définitive par les différents pays membres de l'Union.
DATE-CHARGEMENT: 25 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Roularta Media Group
Tous droits réservés
354 of 500 DOCUMENTS
La Tribune.fr
Mercredi 25 Octobre 2017 7:15 AM CET
Société Générale nomme un gardien des données avant le RGPD
AUTEUR: Delphine Cuny
RUBRIQUE: ENTREPRISES & FINANCE; BANQUES / FINANCE
LONGUEUR: 718 mots
ENCART: A la veille de l'entrée en vigueur de la nouvelle réglementation européenne sur les données, en mai prochain, la banque se dote d'un Data Protection Officer pour tout le groupe, Antoine Pichot. La SG, qui emploie 500 experts de la donnée, veut mieux exploiter cet "actif stratégique".
RGPD (ou GDPR en anglais) est un acronyme casse-tête depuis des mois pour de nombreux grands groupes de tous secteurs qui doivent se mettre en conformité avec le nouveau Règlement général sur la protection des données, qui entrera en vigueur le 25 mai 2018 au sein de l'espace européen. Ce texte rend, entre autres, obligatoire la désignation d'un Data Protection Officer (DPO) chez les entreprises et administrations ayant recours à des données personnelles. La Société Générale vient d'annoncer la nomination de son DPO, délégué à la protection des données en français, Antoine Pichot. Ce pur produit maison, entré à la Soc Gen en 1996, était depuis 2015 co-directeur de la stratégie, du digital et de la relation client dans la banque de détail en France. Il est désormais rattaché à la direction de la conformité du groupe.
« Le banquier du village discute de choses très intimes et personnelles avec son client. Cela fait partie historiquement de la culture d'une banque de traiter de données personnelles et de ne pas les divulguer. Nous manipulons des masses de données depuis des années et nous avons développé un savoir-faire en matière de sécurité. Nous devons faire évoluer notre protection des données pas seulement pour nous mettre en conformité avec RGPD mais avant tout pour répondre aux interrogations de clients, dont le régulateur se fait le porte-voix. C'est un enjeu stratégique majeur pour la Société Générale », a-t-il fait valoir lors d'une rencontre avec la presse ce mardi. Un actif stratégique encore peu exploité Le nouveau gardien des données, qui sera l'interlocuteur privilégié de la Commission informatique et libertés (Cnil), aura pour mission d'aider les différentes entités métiers à décliner la politique de la donnée et à se l'approprier très en amont, dans la conception même des produits ou services, qui devront être conformes au RGPD par défaut.
« Le RGPD crée des droits nouveaux ou renforcés pour le client, le droit d'accès aux données, de les corriger, la portabilité, le droit à l'oubli, et des responsabilités nouvelles pour la banque. Il faut un consentement éclairé, explicite, sans équivoque : ce n'est pas "qui ne dit mot consent", la case pré-cochée, ce n'est pas conforme ! », a-t-il expliqué. Le nouveau règlement européen impose également un devoir d'alerte en cas de fuite de données, auprès du régulateur, dans un maximum de 72 heures (ce délai n'existait pas jusqu'ici) et auprès des clients en fonction de la gravité des données compromises. La mise en conformité avec RGPD « coûte des dizaines de millions d'euros » a indiqué Bernardo Sanchez Incera, le directeur général délégué du groupe Société Générale. La banque n'a pas vraiment le choix et ne veut pas laisser le champ libre aux GAFA (Google, Amazon, Facebook, Apple) sur ce trésor de données qu'elle possède et exploite encore peu.
« La gestion de la donnée est dans l'ADN de Société Générale depuis toujours. Nous nous transformons en profondeur pour mieux valoriser et protéger cet actif stratégique pour le groupe » a déclaré le dirigeant, qui supervise la banque de détail. La banque de La Défense affirme employer « 500 data experts », dont près d'un tiers de data scientists, et dispose d'un « data lake de plusieurs pétaoctets de données » (une plateforme de données de plusieurs millions de milliards d'octets), a indiqué Xavier Lofficial, le directeur de la transformation, des processus et des systèmes d'information. La Société Générale teste différents cas d'usage de la data : par exemple en analysant l'historique de navigation de ses clients sur ses sites Web pour identifier les plus susceptibles de changer de banque. Un test anti-attrition que se serait révélé très probant. Autres cas d'usage : l'analyse plus fine du risque pour l'octroi de crédit à la consommation ou l'envoi de propositions ciblées plus pertinentes directement dans l'application mobile. Le responsable de la stratégie, du digital et de la relation client dans la banque de détail Bertrand Cozzarolo a résumé l'approche : « nous voulons devenir un e-commerçant. »
Veiller à la conformité du groupe bancaire à la réglementation européenne sur la protection des données (RGPD), applicable en mai 2018, sera la mission d'Antoine Pichot, le nouveau Data Protection Officer, délégué à la protection des données.
DATE-CHARGEMENT: 25 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
355 of 500 DOCUMENTS
IT for Business
23 octobre 2017
Les baromètres du mois
RUBRIQUE: Pg. 0024, 0025 N° 2221
LONGUEUR: 700 mots
Les chiffres marquants
83 % des grandes entreprises IT devraient déployer des solutions 5G dans les 24 prochains mois. Source : Étude Ixia
43 % des commerçants ont déjà été victimes d'une violation de leurs données au cours de l'année écoulée. Source : Rapport de Thales sur les menaces informatiques
11 C'est, en jours, le délai moyen qui s'écoule avant le signalement par une entreprise d'une faille de sécurité dont elle a été victime. Avec le RGPD, il ne faudra pas dépasser 3. Source : McAfee
47 % des malwares recensés au second trimestre 2017 sont des « zero day », ce qui rend les antivirus inopérants. Source : rapport WatchGuard
75 % des écrans de démarrage des rançongiciels demandaient un paiement en bitcoins. Source : rapport SentinelOne
Prestation informatique
S'il est, comme attendu, plus élevé que cet été, le nombre global de demandes n'est monté qu'à 773 en septembre contre 870 en juin. La catégorie « Nouvelles technologies » représente toujours le gros de l'offre, à 465, comme de la demande, à 284. Le besoin en « Systèmes, réseaux, sécurité » a été plutôt élevé, à 171 demandes.
Pour les ERP, l'offre et la demande se sont rapprochées. Enfin, exception habituelle, la catégorie « Web Mobilité » propose un nombre de compétences toujours trois ou quatre fois supérieur aux demandes.
Source : HitechPros
Dépenses IT
Selon Gartner, les dépenses mondiales dans l'IT devraient atteindre 3,7 billions de dollars en 2018, soit une croissance de 4,3 % sur une année. Sur ce total, les logiciels d'entreprise sont largement en tête en termes de croissance, avec autour de 10 % par an, pour un montant prévu de 387 Md$ en 2018. Les services IT et les terminaux arrivent ensuite avec des croissances de l'ordre de 5 %. Les services de communication restent loin derrière avec un peu plus de 2,2 %, mais représentent le plus gros du marché à hauteur de 1,4 milliard de dollars.
Gartner - Octobre 2017
Sécurité
Le Breach Level Index est une base de données mondiale analysant les failles de données publiquement divulguées. De façon prévisible, les chiffres sont en hausse. Au cours du premier semestre 2017, 918 failles de données identifiées se sont traduites par 1,9 milliard de fichiers compromis dans le monde. Autre conclusion de la dernière édition de cet index, le vol d'identité et les attaques internes grimpent en flèche.
Source : Gemalto - Juin 2017
Multicanal
L'éditeur Eptica mène tous les ans une étude sur les pratiques des entreprises en matière de multicanal. Celle-ci décompose ses usages en fonction des secteurs d'activité (e-commerce, transport & tourisme, banque, assurances...) et du nombre de canaux utilisés parmi le mail, le chat, Facebook et Twitter. L'étude dénote un déploiement tous secteurs confondus relativement faible du multicanal. Seules 7 % des entreprises sont actives sur les 4 canaux.
Source : Eptica - septembre 2017
Transformation digitale
The Economist Intelligence Unit a mené pour BT une étude mondiale auprès de 400 CEO de multinationales sur le thème de la transformation digitale.
13 pays, dont la France, y ont participé. Pour près de 40 % des CEO, la transformation digitale figure en tête de leurs priorités, et près de 25 % de ces derniers dirigent eux-mêmes les programmes de transformation de leur entreprise. Sur le plan régional, les Européens sont moins optimistes que les autres.
Source : Economist Intelligence Unit-BT - Septembre 2017
Les contrats du mois
Les chiffres marquants
2,4 % C'est la progression des ventes de serveurs en nombre d'unités pour le deuxième trimestre 2017. Source : Gartner
2,4 % Ce sera la hausse des salaires dans les entreprises françaises du secteur IT en 2018, selon Willis Towers Watson Source : Willis Towers Watson - septembre 2017
64 % des entreprises manufacturières devraient être entièrement connectées en 2022 contre 43 % à l'heure actuelle. Source : Zebra
31 % C'est la croissance du secteur des services de cloud public IaaS en 2016. Un marché de 22 Md$ dominé par AWS (44 %), loin devant Microsoft (7 %) et les autres. Source : Gartner
87 % Des entreprises interrogées par le cabinet de recrutement Fed IT déclarent avoir un budget pour embaucher en 2018. Source : Baromètre Fed IT Pulse
DATE-CHARGEMENT: October 22, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
356 of 500 DOCUMENTS
IT for Business
23 octobre 2017
Infrastructure Big data dans le cloud, la bonne idée ?
AUTEUR: Marie Varandat
RUBRIQUE: Pg. 0052, 0053, 0054, 0055 N° 2221
LONGUEUR: 2254 mots
ENCART: Afin de gagner en souplesse et sur les coûts, les entreprises optent de plus en plus pour la business intelligence dans le cloud. Elles sont toutefois freinées par leurs craintes dans le domaine de la sécurité et surtout par un historique de données, pas toujours évident à déplacer ou à combiner avec les services cloud.
Big data, deep learning, dataviz, NoSQL, prédictif, intelligence artificielle, IoT, Hadoop et consorts... Où donc déployer toutes ces briques ? En interne, sur un cloud public, sur un cloud hybride ? Si l'en
croit le Gartner, tout finira dans le cloud d'ici quelques années. Mais à supposer qu'il se trompe, ou qu'il s'agisse d'opérer un choix dans des délais plus brefs, sur quels critères faut-il fonder sa décision ? Financiers ? Performances ? Historique ? Fiabilité et maturité des solutions cloud ? Accessibilité des données ? De fait, la recette tient dans la prise en compte de tous ces paramètres, auxquels il faut encore ajouter un ingrédient particulièrement controversé : la sécurité des données.
LA SEMPITERNELLE QUESTION DE LA SÉCURITÉ ET DES RÉGLEMENTATIONS
« Aujourd'hui, le cloud est toujours la meilleure option, estime Stéphane Hawro, directeur de la practice data chez Umanis, sauf peut-être pour des données extrêmement sensibles. Mais la plupart des prestataires les protègent, et pratiquer des analyses sur des données chiffrées, par exemple, ne pose plus de problème ». Et quand la donnée n'est pas sensible, elle est soumise à des réglementations impliquant des garanties sur le stockage et les traitements, comme le souligne Jean-Marc Lazare, PDG de OpenDataSoft : « nos solutions étant proposées en mode SaaS, toutes les données de nos clients sont dans le cloud. Dans ce contexte, afin de leur apporter des garanties, notamment en traçabilité, nous avons opté pour un cloud souverain ». Toutefois, pour Stephan Hadinger, senior manager solutions architecture d'AWS, « la sécurité est un faux problème. Nous assurons une traçabilité complète des données. Les entreprises peuvent savoir très exactement où elles sont stockées à tout moment. D'ailleurs, de plus en plus de clients viennent dans le cloud chercher un niveau sécurité qu'ils ont du mal à obtenir en interne pour des raisons de coûts. En outre, nous ouvrons trois datacenters en France fin 2017. Le problème de la souveraineté n'en sera plus un. Enfin, les prestataires ne peuvent à eux seul garantir le respect du RGPD aux entreprises, mais ils sont prêts à prendre leur part de responsabilité. En témoigne la création du Cispe, regroupement de prestataires dont nous faisons partie et qui garantit un code de conduite en conformité avec le RGPD ». « D'autant, renchérit Michel Ackerman d'EBRC, prestataire de services cloud luxembourgeois, que nous disposons du même niveau de certification que les banques, par exemple. Typiquement, BALE impose un taux de continuité très important et de plus en plus de banques adoptent nos services pour éviter les pénalités, le respect de la réglementation en interne étant onéreux et complexe à mettre en place ». Pragmatique, Bertrand Masson, cofondateur et directeur stratégie de Moskitos, spécialiste des plateformes d'intégration as a service, rappelle aussi que « la donnée brute n'est pas forcément un avantage concurrentiel. Sa bonne utilisation, en revanche, oui. Et à défaut d'avantage concur-rentiel, elle peut devenir un épineux problème de respect des réglementations ». Et de citer l'exemple d'un leader mondial de la beauté : pour ses besoins d'analyse de crèmes pour la peau, il stocke des informations qui, prises séparément, ne posent aucun problème. « Mais la clé d'analyse permettant de recouper des photos avec des couleurs de peau, elle, est illégale. Alors on ne stocke plus, ou bien ailleurs... ».
L'HYBRIDE, UNE SOLUTION TRANSITOIRE, COMPLEXE ET POTENTIELLEMENT ONÉREUSE
« La question de la sécurité relève de l'irrationnel. Ce n'est plus un critère, résume Olivier Ceceille, directeur conseil chez SQLI. Nous proposons systématiquement le cloud à nos clients, essentiellement pour des raisons de stockage et de calcul. Le stockage coûte moins cher dans le cloud et l'élasticité permet de gérer les pics de calculs sans avoir à payer pour des ressources consommées de façon très ponctuelle ». Si tous les experts s'accordent sur le fait que faire du big data dans le cloud coûte moins cher, ils sont en revanche moins catégoriques lorsque l'entreprise possède déjà un existant en BI.
CISPE : UN CODE DE BONNE CONDUITE POUR LES PRESTATAIRES DE CLOUD
L e Cispe (Cloud Infrastructure Services Providers in Europe) réunit des prestataires autour d'un code de conduite garantissant aux clients le respect des normes de protection de données conformément à la législation européenne, et notamment au RGPD. Actuellement, la coalition compte une dizaine d'acteurs dont AWS, Outscale, OVH ou encore Ikoula. Les fournisseurs s'engagent aussi à offrir le choix d'un stockage et d'un traitement au sein de l'espace européen, et à ne pas utiliser les données de leurs clients pour leur propre compte. À noter que faire partie du CISPE ne signifie pas que la totalité des services du prestataire respectent le code de bonne conduite. Le Cispe tient un registre des services conformes à l'adresse https : //cispe. cloud/PublicRegister/.
« RAPPROCHER LES DONNÉES DES CLIENTS »
GILBERT BARROT CIO D'ACRI-ST
Société d'environ 100 personnes basée à Sophia-Antipolis, ACRI-ST joue un rôle clé dans le traitement et l'archivage de données satellitaires stratégiques de l'ESA. D'abord spécialisée en R&D, la société a élargi ses activités, en appui sur les services cloud du prestataire luxembourgeois EBRC. Explications.
Nous stockons des dizaines de pétaoctets de données provenant de différents satellites. Le lancement des Sentinels [ndlr : série de satellites d'observation lancés par l'ESA dans le cadre du programme Copernicus de surveillance de la Terre] a non seulement fait exploser la volumétrie, passant de dizaines de téraoctets à plusieurs pétaoctets, mais pose également le problème de l'accessibilité aux données. Nos clients sont des chercheurs et des entreprises disséminés sur la planète qui pratiquent des analyses à partir des données brutes ou retraitées par nos soins. Certains utilisent leurs propres outils d'analyse, d'autres préfèrent s'appuyer sur les nôtres. Mais quel que soit le cas de figure, la volumétrie nécessaire aux analyses est telle que le transfert de jeux de données est soit trop long, soit trop coûteux, voire les deux.
C'est pourquoi nous avons opté pour le cloud avec un contrat SLA qui me garantit que je peux fournir à un client par exemple 200 VM à un instant t pour une analyse. En d'autres termes, à l'époque du big data, on ne peut plus se permettre de déplacer les données, il faut les rendre accessibles.
« Pour une entreprise n'ayant aucun existant BI, la question ne se pose pas : pourquoi mobiliser du Capex quand on peut avoir de l'Opex avec en plus des solutions de consommation extensibles, estiment François Baranger et Guillaume Anfroy, respectivement CTO et Deal Solution Manager de T-Systems. Pour les autres, deux possibilités : soit une refonte complète dans le cloud, soit une approche hybride, cette dernière ne manquant pas de soulever des problématiques techniques ayant un impact non négligeable sur les coûts ». En configuration hybride, la question se pose la plupart du temps à l'occasion de la mise en oeuvre de nouvelles analyses, lesquelles reposent souvent sur de nouvelles sources de données provenant de l'open data, de fournisseurs tiers (météo, géolocalisation, sociales, etc.), de l'IoT, des réseaux sociaux, etc. Le stockage coûtant moins cher dans le cloud, les entreprises optent naturellement pour cette option. Au passage, elles en profitent pour mettre en place des architectures plus modernes reposant sur des offres SaaS et des services PaaS d'intelligence artificielle et de big data : bases NoSQL, moteurs in-memory, dataviz, etc. Sauf que la majorité de ces nouvelles applications vont s'appuyer à la fois sur les données internes et les nouvelles sources, imposant à l'entreprise des mécanismes de duplication comme de synchronisation, ainsi que la mise en oeuvre de VPN, voire de liaisons spécialisées quand la volumétrie est trop importante. « Qu'il s'agisse d'interrogations ponctuelles de la base, d'alimentation via un ETL ou de duplication, la coexistence de ces deux infrastructures va forcément nécessiter des développements et, de manière générale, poser des problèmes, estime Olivier Ceceille. Sans oublier le coût des synchronisations, une majorité de prestataires facturant au volume de données qui transite entre leur infrastructure et celle de leur client. En hybride, il vaut mieux des architectures où l'interne interroge le cloud, ou choisir des prestataires qui facturent à l'interconnexion, si on ne veut pas exploser les budgets ».
LE 100 % CLOUD PERTINENT SOUS CERTAINES CONDITIONS
« Même avec beaucoup d'utilisateurs qui accèdent aux applications analytiques, une infrastructure totalement dans le cloud coûtera toujours moins cher qu'une infrastructure à cheval sur les deux mondes avec des mécanismes de synchronisation onéreux, estime Stéphane Hawro. Tôt ou tard, il y aura de plus en plus de migrations de l'existant pour éviter ces problématiques techniques et financières. D'autant que même le reporting classique évolue, le besoin d'explorer les données autrement remettant aussi en cause les architectures existantes ». Un point de vue partagé par Laurent Seror, CEO d'Outscale, mais pour des raisons différentes : « l'hybride, je n'y crois pas : soit on veut de la performance, soit on n'en veut pas.
« 78 % DES ENTREPRISES ENVISAGENT D'ACCROÎTRE LEUR USAGE DU CLOUD POUR LEUR BI DANS LES 12 PROCHAINS MOIS. SEULEMENT 2 % PROJETTENT DE LE RÉDUIRE » Source : « BI and Data Management in the Cloud : Issues and Trends » - BARC Research Study - Janvier 2017
Et si l'on en veut, les données doivent toutes être stockées au même endroit. Compte-tenu des avantages du cloud, puissance de calcul, agilité, etc., et des environnements complets fournis par les prestataires quasi prêts à l'emploi, on a tout intérêt à tout mettre dans le cloud ». « C'est certes plus simple, économique et rapide. Mais attention aux modèles et aux environnements "prêts à l'emploi", tempère Olivier Ceceille. Nous préférons l'approche IaaS aux offres big data sous forme de services PaaS ou SaaS. D'une part, parce que les grands prestataires ont souvent un peu de retard sur leurs versions Hadoop, Horton, etc., et d'autre part parce que les services ne sont pas réellement scalables. La combinaison PaaS-IaaS est aussi une option pour, par exemple, bénéficier de services d'intelligence artificielle. Mais elle soulève souvent des problèmes de gouvernance des données sur la partie PaaS. En d'autres termes, ces plateformes sont parfaites pour faire des expériences, mais pas pour l'industrialisation ». Enfin, autre argument en faveur d'un basculement total : l'accessibilité des données. Au-delà des coûts liés aux transferts sur le réseau, les délais pour récupérer un jeu de don-nées afin de pratiquer une analyse peuvent rapidement devenir rédhibitoires quand on est une entreprise avec des utilisateurs dispersés géographiquement.
Pour l'heure, les basculements restent minoritaires et sont principalement motivés par des problématiques de gouvernance des données, engendrés par la mise en conformité au RGDP : contraintes de revoir leur architecture de données, les entreprises en profitent pour tout basculer dans le cloud. Du côté d'AWS ou de Microsoft, on est prêt : les deux géants proposent des services de « valises » pour déplacer les volumes colossaux des entreprises. À ce stade, le transfert réseau n'est plus envisageable et les données sont acheminées sur disque par camion. Des moyens lo-gistiques qui bien entendu ne vont que dans un sens. L'option « cloud vers l'interne », voire le simple enrichissement des architectures BI existantes, semblent définitivement... has been. · Marie Varandat
DIRECTEUR DE LA R&D D'ADVANCED SCHEMA, SOCIÉTÉ DE SERVICES SPÉCIALISÉE EN BIG DATA
NICOLAS BRIGITTE-ALPHONSINE
Pourquoi avoir choisi Telehouse pour développer votre activité big data ?
Nous avons cherché un partenaire de proximité, capable de s'adapter à nos besoins. Nous travaillons avec d'autres prestataires de cloud, mais ils n'offrent pas les mêmes garanties de souplesse, qu'il s'agisse de traçabilité, de respect de l'environnement ou encore de maîtrise de la chaîne. Enfin, Telehouse facture les transferts de données à l'interconnexion et non à la volumétrie.
En big data, c'est un argument.
Sur quels critères vous appuyez-vous pour mettre en place une stratégie ?
Nous sommes persuadés que les applications big data vont se développer sur des architectures hybrides. La vision du Gartner « tout dans le cloud » nous semble optimiste, voire pas souhaitable. Il faut faire une évaluation éclairée de l'existant en prenant en compte tous les paramètres, y compris l'aspect humain. Nos clients sont principalement des grands comptes qui ont déjà des infrastructures et des ressources humaines pour gérer la BI. Nous sommes plutôt partisans d'une posture pragmatique, l'arbitrage cloud-pas cloud dépendant des considérations économiques et des usages.
Quels sont selon vous les principaux freins à un basculement dans le cloud ?
La sensibilité des données reste un des points d'achoppement. Il existe encore dans certains pays des règlementations très strictes qui ne permettent pas de mettre les données n'importe où. En outre, même si on sait aujourd'hui faire des analyses sur des données chiffrées, la problématique du stockage de la clé de chiffrement reste entière et le curseur n'est jamais simple à positionner dans ce domaine, surtout depuis l'avènement du RGPD.
DATE-CHARGEMENT: October 22, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
357 of 500 DOCUMENTS
IT for Business
23 octobre 2017
Allianz France construit une offre digitale pour ses clients du Bâtiment
RUBRIQUE: TRANSFORMATION NUMÉRIQUE; Pg. 0050, 0051 N° 2221
LONGUEUR: 1369 mots
ENCART: Signature électronique, prévention connectée, impression 3D... Pour accompagner la révolution digitale dans le BTP, l'assureur s'appuie sur sa DSI, des start-up associées et des partenaires industriels. Avec un double objectif : fluidifier la relation client d'une part, et répondre aux nouveaux besoins assurantiels nés des évolutions technologiques d'autre part.
Même s'il n'est pas pionnier Men la matière, le bâtiment n'échappe pas à la vague de la digitalisation, qu'elle concerne la fluidification des procédures et des échanges avec l'écosystème (par exemple dans le cadre du plan national de dématérialisation des marchés publics), ou l'exercice même du métier. Celui-ci doit faire face à de nombreux bouleversements : l'avènement des modèles BIM dans les phases de construction puis d'exploitation, ou la multiplication des objets connectés sur les chantiers, en particulier pour la prévention des risques, pour ne citer que ceux-là. Autant de changements dans les pratiques de ses clients qu'un assureur comme Allianz France, un des leaders sur le segment des grands chantiers, se devait de prendre en compte : « à la fois pour simplifier les relations avec nos assurés, mais aussi pour accompagner l'émergence de nouvelles solutions, comme la prévention connectée, ou de nouveaux besoins, par exemple autour de la réalisation d'immeubles en impression 3D », explique Michael Hörr, son directeur des Opérations d'assurance entreprises et collectives.
Le premier pan de cette nouvelle offre digitale concerne les phases de signature de contrats et celles, heureusement plus rares, des déclarations de sinistres et demandes d'indemnisation. La contractualisation comme l'indemnisation se dérouleront indépendamment du papier. La DSI d'Allianz France, mais aussi un réseau de start-up Michael Hörr, directeur des Opérations d'assurance entreprises et collectives d'Allianz.
associées au sein de son incubateur niçois, ainsi que des partenaires technologiques reconnus ont été mis à contribution pour élaborer des offres simples d'utilisation. « Avec cet objectif de fluidification des relations en tête, il est important de produire rapidement des solutions efficaces. C'est pourquoi dans 80 % des cas, elles reposent sur des assemblages de briques technologiques existantes », poursuit Michael Hörr. C'est ainsi que le processus de souscription est désormais entièrement digitalisé, signature et archivage électroniques à la clé, avec l'aide de Docapost, une des filiales de la Poste. Pour le client, outre le gain de temps au moment de la signature, la consultation des contrats devient plus facile, y compris à distance sur une simple tablette, puisque l'assureur lui donne un accès sécurisé à l'ensemble de ses contrats au format PDF.
Le même esprit de simplification a soufflé sur les phases de traitement des sinistres. Allianz France a baptisé sa solution Expertise en 1 temps. Elle est utilisée par les experts de Saretec, son réseau partenaire dans la construction, pour les sinistres Dommages-Ouvrages qui nécessitent leur visite, mais sans gravité particulière ni recours. Accessible sur la tablette de l'expert, elle lui permet, en une seule passe, d'évaluer les dommages et de calculer les indemnités. Une fois l'accord du client enregistré, le processus de règlement est enclenché. Selon l'assureur, le gain de temps est alors considérable, puisque le délai moyen de paiement des indemnités, après la visite de l'expert, est tombé à 72 h, contre plusieurs semaines auparavant.
Autre volet conséquent de l'offre digitale Allianz France, la prévention connectée tire parti des multiples capteurs désormais disponibles pour surveiller les échauffements suspects, les courts-circuits ou les comportements anormaux des struc-tures sur les chantiers. « Il s'agit d'éviter des incendies et des effondrements, susceptibles de causer des retards dans les livraisons, des frais de remises en état ou pire, des dommages corporels », souligne Michael Hörr. L'innovation consiste ici à centraliser l'ensemble des informations sur un poste de surveillance, au PC sécurité. Si l'achat des capteurs reste à la charge de l'entreprise, l'assureur promet que cette nouvelle famille d'applications est gagnant-gagnant et participe à sa mise en place. « Nous avons des équipes d'experts qui se déplacent, sans frais supplémentaires pour nos assurés, sur les chantiers, afin de déterminer les emplacements adéquats de mise en oeuvre de ces capteurs, notamment au niveau des infrastructures pour analyser leurs comportements et les déformations éventuelles », détaille notre interlocuteur. Le responsable d'Allianz France estime que l'offre est porteuse de gains pour les clients : « non seulement ils réduisent leurs risques de sinistres donc leurs éventuelles conséquences financières, mais de plus, nous adaptons le montant de nos primes d'assurance puisque le risque est ainsi mieux maîtrisé ».
En plus de ces trois offres packagées, l'assureur entend bien accompagner la transformation numérique en cours chez ses clients, à la fois pour les fidéliser, mais aussi pour anticiper sur les nouveaux risques qui découlent des innovations. Michael Hörr évoque par exemple les impressions 3D de bâtiments (voir encadré), qui vont engendrer de nouveaux types de risques, que ce soit lors de la phase de construction ou par la suite, lors de l'exploitation des immeubles ou des maisons. Il s'agit pour l'assureur d'accompagner la digitalisation sur les chantiers. La révolution en cours du BIM (modélisation des données du bâtiment) prévoit que tous les acteurs de la construction, puis de l'exploitation d'un bâtiment, se réfèrent à une même maquette numérique. Les grandes entreprises du secteur ont déjà franchi le pas - et elles y ont intérêt puisque, par exemple, sur tous les chantiers du Grand Paris, les donneurs d'ordre exigent la fourniture de ces modèles lors des réponses à appels d'offres. Si les plus petites structures sont encore attentistes, les assureurs suivent déjà avec beaucoup d'attention cette évolution majeure dans les pratiques de conception d'abord, de guidage des constructions ensuite.
Enfin, la digitalisation engendre de nouveaux risques intrinsèques. Allianz France fait d'ailleurs partie des pionniers en matière de couverture du cyber-risque. Avec l'arrivée de la RGPD en mai prochain, la protection des données personnelles - données médicales, données contractuelles de prévoyance... - devrait susciter des questionnements de la part de leurs clients. « Nous y sommes d'autant plus prêts que cette protection fait chez nous l'objet de règles et de pratiques clarifiées depuis longtemps. Cela nous incite à concevoir des offres qui embarquent nativement des solutions en la matière. C'est le cas de nos offres de souscription en ligne développées en interne par nos services informatiques pour lesquelles nous avons choisi un partenaire déjà en conformité avec les exigences de la nouvelle réglementation », conclut Michael Hörr. · François Jeanne
CA d'Allianz France 72 h
Délais de paiement des indemnités avec la solution Expertise en 1 temps
Jusqu'à 30 %
Baisse des coûts avec l'utilisation de l'impression 3D dans le Bâtiment
IMPRIMER SA MAISON, PAS SANS (NOUVEAUX) RISQUES
L e monde du BTP est en ébullition, depuis que des laboratoires de R&D d'abord, des start-up ensuite, ont lancé les premières constructions de bâtiments utilisant les technologies d'impression 3D. Deux approches ont le vent en poupe. D'une part, celle qui consiste à fabriquer des coffrages à l'aide d'un robot qui les « imprime » en utilisant du polyuréthane, lequel reste en place après coulage du béton pour constituer une couche d'isolant thermique efficace. D'autre part, celle qui « imprime » directement du béton, fluide au moment du passage dans la buse d'impression, mais rapidement « en prise » grâce à des adjonctions de durcisseurs. Des ponts (aux Pays-Bas), des maisons (à Nantes en France) et même des immeubles (en Chine) ont déjà été réalisés avec ces techniques, avec des gains importants sur la durée du gros oeuvre sur les chantiers, ramenée à quelques jours, ainsi que sur ses coûts, qui peuvent baisser jusqu'à 30 %. Pour les assureurs, cette révolution technologique est porteuse de nouveaux risques - erreurs de conception au niveau de la maquette numérique, pannes ou destruction de robots très coûteux, etc., - mais aussi d'évolutions drastiques des paramètres sur les risques « traditionnels » - moins de personnel sur les chantiers par exemple. De quoi éveiller, dès maintenant, l'attention des actuaires chargés de calculer les futures primes...
DATE-CHARGEMENT: October 22, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
358 of 500 DOCUMENTS
Economie Matin
20 octobre 2017 01:23 PM GMT
Recrutement et Big Data : les algorithmes vont-ils devenir indispensables ?
LONGUEUR: 1855 mots
Un mauvais recrutement peut coûter cher à l'entreprise. Les nouveaux algorithmes propulsés par le Big Data permettent aujourd'hui de réduire les risques en prédisant le succès ou l'échec d'une embauche. Technologie d'avenir, certainement, mais la décision humaine reste irremplaçable. S'il existe bien un secteur en permanente révolution, c'est bien celui du recrutement. Après avoir absorbé l'arrivée des job boards dans les premières années d'Internet et ayant à peine terminé d'intégrer les réseaux sociaux comme ingrédient essentiel du processus, le métier de recruteur vit actuellement son troisième bouleversement majeur avec le recrutement assisté par les algorithmes.
Tout comme les secteurs financiers ou marketing avant lui, celui du recrutement et des RH voit arriver des solutions qui puisent dans de grandes quantités de données, que les individus actifs donnent volontairement ou non, afin de déterminer des listes de profils idéaux sur la base de critères de sélection adaptés aux besoins de l'entreprise. Autrement dit, le Big Data et les algorithmes sont utilisés pour prédire la probabilité de succès ou d'échec d'un candidat potentiel, en comparant son profil à celui de milliers d'autres salariés occupant un poste similaire. La science-fiction d'hier est devenue la rationalisation d'aujourd'hui, et l'on comprend bien l'intérêt de l'entreprise à recourir à ce type d'outils d'Intelligence Artificielle et de services de matching toujours plus sophistiqués pour éviter les erreurs de castings et augmenter le taux de réussite d'un recrutement. Ces technologies d'avenir prennent de l'ampleur et leurs concepteurs espèrent bien parvenir à disrupter un secteur déjà très hétérogène. Comme toutes évolutions à marche forcée, les recruteurs de tous ordres, qu'ils soient DRH, responsables de services, patrons de PME ou chasseurs de tête, ont tout intérêt à suivre de près cette tendance, à l'accepter et à s'y adapter, mais aussi à conserver un regard critique sur les limites de ces nouveaux outils. Gagner du temps et élargir le champ des possibles Le marché des ressources humaines est en pleine explosion avec des centaines de nouvelles start-ups proposant des technologies misant sur la donnée, nous promettant des recrutements toujours plus pertinents, rapides et ciblés. Dans un recrutement, deux phases principales distinctes se succèdent : l'identification (trouver des bons profils) et la sélection (choisir les meilleurs profils), la première étant très chronophage tandis que la seconde présente de forts risques d'erreur. Les nouveaux outils ont pour objectif d'assister l'humain dans ces deux séquences en lui faisant gagner du temps et en réduisant l'imprévu. Les outils les plus en vogue et accessibles reposent sur un système de matching affinitaire dont le but est de faire correspondre de manière idéale un candidat et une entreprise, comme le font les sites de rencontres entre particuliers. En analysant de manière automatisée les données des bases de milliers de CV et celles des réseaux sociaux, on décharge l'humain d'une tâche titanesque tout en obtenant de manière précise le pourcentage d'adéquation entre les deux parties. Plus avancés, les algorithmes prédictifs vont analyser de très grandes quantités de données variés de milliers, voire de millions, de profils pour en tirer de multiples modélisations de parcours qui vont aider les recruteurs à prendre leur décision. Un travail préalable d'étude des personnalités des collaborateurs de l'entreprise qui réussissent dans leur mission va permettre de dessiner un profil type du succès, que l'on va tenter de retrouver chez des candidats à l'aide de tests de personnalité poussés. Et il peut y avoir des surprises, comme par exemple la découverte par IBM que les meilleurs vendeurs n'étaient pas les plus extravertis mais les plus tenaces. Plus fort encore, l'Intelligence Artificielle de reconnaissance faciale commence à être utilisée par certains grands groupes pour analyser les réactions et émotions des candidats lors d'entretiens vidéo, afin de déceler leur motivation profonde et leur enthousiasme face au poste proposé. Car aujourd'hui, c'est souvent plus à la personnalité et aux " soft skills " qu'aux diplômes et compétences que s'intéressent les recruteurs. Ces nouvelles méthodes permettent donc de réduire la durée des recrutements et de prendre de meilleures décisions, mais pas seulement. L'objectivité naturelle des algorithmes ouvre également la porte à des profils qui n'auraient jamais été repérés lors d'un processus classique, en raison de leur parcours a priori non adaptés au poste, ou qui auraient été victimes de discrimination. Il s'agit ainsi d'une chance pour des individus peu diplômés ou au parcours atypique d'être identifiés comme possédant un gros potentiel pour s'épanouir dans un métier auquel ils n'avaient jamais songé. Les qualités humaines, comme la capacité d'adaptation, l'autonomie ou la relation aux autres, prennent ainsi le pas sur les compétences qui pourront être acquises durant une formation. L'avantage des algorithmes, c'est également qu'ils ne se soucient pas de savoir si un candidat a la peau noire, est une femme, n'est plus tout jeune ou est handicapé. Le géant Unilever a ainsi relevé qu'en utilisant ce type d'outils durant un an, l'embauche de candidats non-blancs avait augmenté de manière significative, tandis que la parité était parfaitement respectée. D'après une étude de la Harvard Business Review de 2014, les algorithmes feraient ainsi mieux que l'intuition en débarrassant le recrutement des éléments parasites subjectifs sans lien avec le poste, dont les humains sont coutumiers, comme la recherche instinctive de profils qui leur ressemblent. Alors, la machine est-elle désormais en mesure de remplacer totalement l'homme lorsqu'il s'agit de recruter les meilleurs talents pour une entreprise ? Pas si sûr. Le fantasme de la vérité immuable Attention à ne pas tomber dans le piège de la croyance aveugle en une logique qui aurait systématiquement raison, puisque scientifique. L'impression de réduction du risque produite par l'analyse statistique ne doit pas être perçue comme une vérité immuable qui ferait passer toutes les corrélations pour des causalités. Cette approche mathématique n'est pas infaillible car la psychologie humaine n'est pas une science exacte, mais empreinte d'émotions et victime de biais cognitifs. L'homme n'est pas toujours un " homo economicus " doté d'un raisonnement rationnel constant, mais constitué de milliers de subtilités que les algorithmes mettront du temps à comprendre et assimiler. Plus le recrutement est spécifique et pointu, s'intégrant généralement dans un contexte de guerre des talents, et plus l'humain conservera sa valeur ajoutée par rapport à l'automatisation des processus dans la quête d'identification et de sélection des profils. Prenons l'exemple du Data Scientist, très recherché actuellement, avec un vivier restreint de talents divisé entre les jeunes diplômés de cette spécialité ou de plusieurs autres convergentes, et les cadres confirmés dont les compétences ont évolué progressivement vers ce métier. Une recherche de profils, au ciblage éparse, est encore complexe pour la machine qui aura des difficultés à agréger l'ensemble des compétences, techniques, comportementales, managériales, et " l'intelligence émotionnelle " qui fait de chaque candidat, une personne unique. Aujourd'hui, de nombreuses données sont encore difficilement modélisables et l'examen approfondi d'une personnalité par des algorithmes lors de tests poussés ne saurait être suffisamment complet pour se passer du regard de l'homme. D'autant plus que pour produire des résultats probants, il est nécessaire d'alimenter les algorithmes avec de grands volumes de données, restreignant pour le moment leur utilisation aux grands groupes disposant d'une masse critique de salariés et de candidats. Et lorsque l'on dispose de suffisamment de données pour modéliser le profil du candidat parfait, n'y a-t-il pas un risque de ne recruter que des clones du salarié performant ? La diversité des profils nécessaire pour la complémentarité et l'émulation entre collaborateurs en prend un sacré coup. Pire encore, ce type de recrutement prédictif aurait pour effet d'inciter les entreprises à reproduire ce qu'elle maîtrise déjà, les faisant glisser vers l'immobilisme quand l'époque exige au contraire de la prospective et des prises de risque. Il demeure enfin la problématique des données personnelles. La loi Informatique et Liberté exige que l'on collecte et traite des données avec un objectif déterminé, légitime et explicite alors que des quantités astronomiques d'informations sont le plus souvent rassemblées par les entreprises sans encadrement défini, avant même la conception des algorithmes. Avec l'entrée en vigueur du RGPD en mai 2018, nul doute que la transparence des algorithmes de recrutement sera scrutée au plus près. L'humain reste la clé déterminante d'un recrutement réussi Si les algorithmes ont de beaux jours devant eux, d'autant qu'ils ne cesseront d'évoluer pour se perfectionner et assister toujours mieux l'homme dans ses tâches, ils ne doivent en aucun cas se substituer à lui, dont le rôle de garde-fou reste essentiel. Dans un avenir proche, on perçoit aisément les bénéfices de gain de temps, notamment pour les recrutements massifs de profils assez peu qualifiés, mais il est essentiel de ne pas glisser sous le tapis les questionnements stratégiques et éthiques qui se posent sur le plus long terme. Chercher à prédire l'avenir pour se rassurer et prendre les bonnes décisions est une quête ancestrale et légitime de l'homme, mais n'est-ce pas l'imprévisible qui crée souvent une valeur inattendue et au final déterminante ? Non seulement une automatisation excessive des processus entraînerait des dysfonctionnements absurdes, certes en parallèle de réussites incontestables, mais elle nous dirigerait surtout vers une déshumanisation du recrutement, que personne ne souhaite. Le paradoxe de notre époque qui voit grandir les Intelligences Artificielles est que nous nous attachons toujours plus aux qualités humaines, celles qui permettent réellement aux hommes de travailler et d'avancer ensemble. La rencontre réelle lors d'un recrutement reste ainsi irremplaçable pour injecter une part de subjectivité, de sensibilité, de feeling, d'expérience et de bienveillance. De cela dépendra la capacité des nouvelles recrues à progresser en confiance et avec efficacité dans un monde du travail en pleine transformation. Nous devons donc faire preuve de recul, à la fois sur la technologie dont la raison d'être demeure de nous servir et pas l'inverse, mais aussi sur nous-mêmes, humains imparfaits qui avons toujours utilisé de nouveaux outils pour continuer à progresser. Tout en restant vigilants et conscients de notre valeur inestimable, nous devons embrasser les révolutions digitales et leurs promesses d'avenir, en acceptant que le métier de recruteur change et qu'il doit évoluer pour devenir toujours plus juste et pertinent. Alors, prêts à relever le challenge ?
DATE-CHARGEMENT: 24 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
359 of 500 DOCUMENTS
La Semaine Juridique - Entreprise et affaires
19 octobre 2017
Quand un banquier fait face à un Data scientist;
Le Bon, la brute et le truand
AUTEUR: Étude rédigée par Noémie Weinbaum, Of counsel, Aramis Société d'Avocats
RUBRIQUE: ETUDE; Informatique N° 42-1575
LONGUEUR: 4384 mots
RESUME:
Quintessence du Western spaghetti. Voici le banquier confronté au Data scientist dans la quête du chargement d'or des temps modernes : les données ! En bref, c'est l'histoire d'un homme armé d'un lasso spécial « secret bancaire/professionnel », et revêtu d'un stetson avec pour devise le respect de la réglementation relative à la protection des données personnelles. Notre homme se voit confronté aux conditions devant être respectées pour pouvoir faire de l'utilisation massive de données.
TEXTE:
Le film se déroule en deux parties. La première ayant trait aux deux batailles, celle que livre le couple « secret professionnel/secret bancaire » au consentement de l'individu qui se doit d'être donné au cas par cas et de manière spécifique, et celle livrant notre homme face au règlement général sur la protection des données (RGPD)1. La seconde partie du film met en exergue les moyens de défense qui s'offrent aujourd'hui au banquier afin que ce dernier puisse demander à son Data scientist d'utiliser ces données, et d'assurer simultanément la sécurité de celles-ci.
Dans ces temps obscurs, où une cyberattaque coûte en moyenne 773 000 à une entreprise2, le banquier se révélera-t-il être un héros des temps modernes ? Car, pour reprendre l'expression de M. Pailhès, responsable Legal Practice IT/IP, Groupe BNP Paribas, si pour certains les données sont le pétrole du numérique, lui parlerait plutôt de nucléaire : quand tout va bien, c'est fantastique, mais quand ça va mal, ça peut virer à Fukushima3.
Les données bancaires - sanctuaires du secret et de la sécurité
Secret bancaire/secret professionnel et consentement de l'individu à l'utilisation de ses données
Dans son acception première, le secret professionnel - plus communément connu sous l'appellation secret bancaire - vise l'interdiction faite aux établissements financiers de livrer des informations sur leurs clients à des tiers. Le secret bancaire est ainsi un secret professionnel comme un autre, aussi bien pour les établissements de crédit et de financement, que pour les établissements de paiement.
Le Code monétaire et financier4 impose aux établissements de crédit, de paiement et sociétés de financement un secret professionnel aux termes duquel ils ne peuvent communiquer des informations couvertes par un tel secret qu'« au cas par cas et uniquement lorsque les personnes concernées leur ont expressément permis de le faire» (C. mon. fin., art. L. 511-33). À titre de dérogation, ces établissements peuvent communiquer de telles informations sans obtenir le consentement préalable des personnes concernées notamment aux personnes avec lesquelles ils négocient, concluent ou exécutent des contrats de prestations de services conclus avec un tiers en vue de leur confier des fonctions opérationnelles importantes. Cette exception n'a pas pour effet de modifier la nature et le régime auquel sont soumises les informations communiquées qui demeurent soumises au secret professionnel.
Le critère de l'importance demeure néanmoins une notion subjective. Le terme visé par l'article L. 511-33, I, 6° du Code monétaire et financier devrait pouvoir s'apprécier à l'aune de l'envergure du projet pour la banque, là où le critère de l'importance visé par le Code monétaire et financier s'analyse au regard du client et du régulateur. En d'autres termes, si le projet envisagé est important, et que ce dernier est en mesure d'objectiver une telle importance, alors la communication pourrait bénéficier de l'exemption et notre banquier serait en mesure de fournir ces informations à un tiers prestataire, en vue de l'élaboration - par exemple - d'algorithmes visant à faire de la modélisation prédictive.
Pour autant, si les dispositions de l'article L. 511-33, I, 6° du Code monétaire et financier introduisent à titre d'exception la possibilité de communiquer à un prestataire de services des informations soumises au secret professionnel pour la réalisation de fonctions opérationnelles importantes, cette exception n'a pas pour effet de modifier la nature et le régime auquel sont soumises ces informations et, même si la prestation n'est pas une prestation externalisée essentielle ou importante, il convient de s'assurer du respect de l'esprit du Code monétaire et financier et de celui de l'arrêté du 3 novembre 2014 portant sur les prestations de services essentielles externalisées.
Voilà donc une protection accordée aux détenteurs des données contre leur utilisation massive qu'il convient pour le banquier de bien prendre en compte.
Le RGPD
L'article 32 du RGPD institue un régime de coresponsabilité au responsable du traitement et à son sous-traitant et impose la mise en oeuvre de mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.
Sous couvert de risques de sanctions élevées, le RGPD incite ainsi les entreprises à mettre en place une sérieuse politique de sécurité des systèmes d'information avec une protection technique des infrastructures ; notamment pour se prémunir contre les ramsonware au niveau des passerelles réseau et de messagerie, et la mise en place de bonnes pratiques telles que des obligations de sauvegarde et de restauration régulière garantissant l'efficacité du plan de reprise d'activité, l'interdiction de télécharger de fausses applications, un contrôle des données entrant et sortant des appareils mobiles en les encapsulant, et en mettant des workflows partagés pour conserver ces données à l'intérieur du périmètre de l'entreprise.
Le Master Data Management (MDM) fait l'objet de toutes les attentions dans le milieu bancaire, et est « considérée comme une "pierre angulaire" des SI, et souvent l'un des points de fragilité »5. Le MDM implique l'identification des données et de leurs responsables ainsi que de leur rôle dans les applications, de sorte à évaluer le niveau de sécurité requis pour chaque donnée en fonction de quatre critères :
la disponibilité, à savoir sa capacité à être accessible à la demande en temps et en heure ;la disponibilité, à savoir sa capacité à être accessible à la demande en temps et en heure ;
la confidentialité, à savoir la nécessité d'en restreindre l'accès à un nombre limité d'utilisateurs ;la confidentialité, à savoir la nécessité d'en restreindre l'accès à un nombre limité d'utilisateurs ;
l'intégrité, c'est-à-dire sa capacité à être exacte et exhaustive ;l'intégrité, c'est-à-dire sa capacité à être exacte et exhaustive ;
la date de péremption, à savoir sa durée de vie avant archivage.la date de péremption, à savoir sa durée de vie avant archivage.6
Sur la base d'une cartographie des données - prenant en compte la complexité des SI, et sur la base des autorisations qui sont données en fonction des besoins métiers et des projets - il faut que l'entreprise soit à même d'assurer un monitoring permanent.
Le MDM s'appuie sur des propriétaires (« owners ») désignés lors de l'établissement de la cartographie qui sont en charge (a) de la sécurité de l'accès aux données (mise à jour de la liste des utilisateurs), (b) de la gestion du cycle de vie et (c) de la date de péremption de la donnée (i.e. l'archivage).
Pour reprendre les propos de M. Boutonnet, « dans un environnement ultra-concurrentiel et en constante transformation, [...] une meilleure appréhension des dispositifs de sécurité à mettre en place fournira un avantage compétitif de taille [...]. En tous les cas, le nouveau règlement européen constitue une opportunité de transformer la contrainte réglementaire liée à la sécurité en avantage concurrentiel visant à augmenter le niveau de confiance de ses clients »7.
Moyens de défense du banquier pour pouvoir utiliser les données, et assurer la sécurité de celles-ci
La protection de la confidentialité et de l'intégrité des données est au coeur des préoccupations du banquier. C'est bien sur ce terrain qu'il peut faire valoir son savoir-être, quitte à ce que cela paraisse se faire au détriment du savoir-faire détenu par les nouveaux acteurs « high-tech » apparus dans l'environnement bancaire et financier. Car il tient à coeur au banquier de s'assurer de l'anonymisation des données (A), mais aussi car les technologies, notamment le HCE et le NFC, ne répondent pas forcément aux problématiques sécuritaires (B), et qu'il semble à présent que l'avenir soit presque tracé pour notre cow-boy des temps modernes, avec la mise en place des API (C).
L'anonymisation
L'anonymisation est aujourd'hui un terme qui perle aux lèvres de l'ensemble des auteurs d'études sur le sujet8. Et pourtant, c'est déjà en avril 2014 que le G29 publiait ses recommandations en la matière9. Les solutions d'anonymisation des données sont effectivement essentielles pour le banquier qui souhaite valoriser les données auxquelles il a accès.
L'avis du G29 commence par rappeler qu'un processus d'anonymisation est un traitement au sens de la directive 95/46/CE, du fait, notamment, de la collecte initiale de données personnelles qui est faite. Il rappelle ensuite que la directive ne s'applique pas aux données anonymes mais que les données pseudonymisées ne sont pas des données anonymes.
Il en ira de même pour le RGPD qui n'a vocation à s'appliquer qu'aux seules données personnelles. Pour savoir si une telle donnée est bien anonymisée, il convient de poser les questions suivantes :
« l'individualisation : est-il toujours possible d'isoler un individu ?« l'individualisation : est-il toujours possible d'isoler un individu ?
la corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?la corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
l'inférence : peut-on déduire de l'information sur un individu ?l'inférence : peut-on déduire de l'information sur un individu ?
Ainsi :
un ensemble de données pour lequel il n'est possible ni d'individualiser ni de corréler ni d'inférer est a priori anonyme ;un ensemble de données pour lequel il n'est possible ni d'individualiser ni de corréler ni d'inférer est a priori anonyme ;
un ensemble de données pour lequel au moins un des trois critères n'est pas respecté ne pourra être considéré comme anonyme qu'à la suite d'une analyse détaillée des risques de ré-identification ».un ensemble de données pour lequel au moins un des trois critères n'est pas respecté ne pourra être considéré comme anonyme qu'à la suite d'une analyse détaillée des risques de ré-identification »10.
Deux grandes techniques d'anonymisation sont mises en exergue par le G29 :
transformer les données pour qu'elles ne se réfèrent plus à une personne réelle ; ettransformer les données pour qu'elles ne se réfèrent plus à une personne réelle ; et
généraliser les données de façon à ce qu'elles ne soient plus spécifiques à une personne mais communes à un ensemble de personnes.généraliser les données de façon à ce qu'elles ne soient plus spécifiques à une personne mais communes à un ensemble de personnes.
Pour chaque technique, une analyse de ses forces et faiblesses au regard des trois critères d'évaluation est fournie ainsi que des recommandations pratiques pour son utilisation.
Une bataille en ordre dispersé
Les moyens de paiement n'ont pu se développer que par une meilleure connaissance des attentes des clients, et par là-même par la maîtrise de l'information sur le paiement qui symbolise aujourd'hui la réussite de l'acte d'achat, dans un monde où « l'information sur le paiement est devenue plus importante que le paiement »11. Cette évolution a donné naissance à une foultitude de start-ups innovantes dont le coeur de métier est le traitement de l'information, le paiement lui-même étant sous-traité aux acteurs traditionnels que sont les établissements de paiement.
Pour bien comprendre le nouveau paysage des moyens de paiement et des technologies y afférentes, il est utile de faire un rapide retour en arrière. Au début, et partout dans le monde sauf aux États-Unis, était la carte à puce, reine des moyens de paiement ; la sécurité des transactions par carte bancaire est assurée grâce à une puce qui contient des informations protégées et cryptées permettant les échanges et les paiements lors d'une transaction de proximité, lors de l'introduction de la carte dans le terminal de paiement électronique.
Le standard utilisant cet élément de sécurité physique - Secure Element12 - réduit le nombre et le montant des fraudes. Les États-Unis ne l'ont pas adopté pour des raisons de coût d'investissements13, et selon certains, pour « des raisons liées au syndrome NIH - Not Invented Here »14.
Pour fluidifier les paiements, sont apparues les technologies NFC (Near Field Communication). Il s'agit de technologies de communication sans fil à courte portée et à haute fréquence, permettant l'échange d'informations entre des périphériques jusqu'à une distance d'environ 10 cm15.
Le paiement sans contact basé sur le NFC est particulièrement facile d'utilisation, mais qui dit agilité ne dit pas sécurité. Début 2016, des hackers allemands du Chaos Computer Club ont présenté des failles dans les protocoles de communication. La plus importante concerne le protocole utilisé (principalement en Allemagne) entre la carte et le terminal de paiement sans contact - une faille due à une mauvaise implémentation du code d'authentification du message. Une personne mal intentionnée munie d'un smartphone et d'une application spécifique peut récupérer des informations confidentielles telles que le numéro de la carte bancaire et son code PIN, à condition de placer le smartphone à quelques centimètres de celle-ci16.
Ainsi, alors même qu'on attendait de cette technologie d'ouvrir la voie au paiement sans contact, la révolution NFC a tardé à se concrétiser, entre failles de sécurité et complexité d'un écosystème dit SIM-centric basé sur l'interaction de nombreux acteurs qui se traduit dans un parcours client contraignant où le client doit détenir (i) un smartphone NFC et une carte SIM compatible, (ii) un Secure Element fourni dans le cadre d'un abonnement téléphonique mobile fourni par l'opérateur de téléphonie mobile, et (iii) une banque qui propose elle-même ce service de paiement avec l'opérateur de téléphonie mobile en question. Enfin, l'ensemble de l'écosystème repose sur un Trusted Service Manager en charge de gérer l'espace sécurisé de dialogue entre la carte SIM, le logiciel, et les données bancaires, à savoir entre la banque, l'opérateur de téléphonie mobile, et le Secure Element du client17.
Pour ne pas simplifier la situation, les fabricants de smartphones - outil aujourd'hui considéré comme la nouvelle clé multi-usages pouvant à la fois assurer les transferts d'argent en ligne, le paiement en ligne et voire même la sécurité du paiement18 - avancent eux aussi en ordre dispersé sur les technologies du sans contact.
Une première approche a consisté à utiliser le compte mobile logé chez l'opérateur téléphonique pour effectuer le paiement, puis d'utiliser la carte SIM comme support de stockage des références bancaires. Une discorde entre banquiers et opérateurs sur le partage des coûts et des marges a conduit à l'abandon de cette seconde approche. Les banques se sont alors proposées d'inclure une seconde puce sur le mobile. Cette approche n'a pas - non plus - abouti en raison de son intégration dans le processus de fabrication du matériel. Enfin, une dernière solution - toujours en cours de diffusion - est le wallet permettant de stocker plusieurs références bancaires. Cela étant, sans solution interbancaire large, cette solution est vouée à l'échec selon l'avis de nombre de spécialistes19. Les GAFA ne sont pas restés en marge, en proposant leur propre solution universelle d'achat en ligne20, rapidement mise à mal pour des raisons de sécurité et de confidentialité des transactions.
Au regard de ces tentatives successives, le NFC apparaît à même de dépasser le seul marché du commerce électronique pour offrir une solution de paiement universelle. Pour autant, entre les problématiques liées à la convivialité et celles liées à la sécurité, sa mise en oeuvre demeure difficile, d'autant que c'est dans ce contexte que s'est joint à la bataille Apple en proposant un mobile servant de boîtier sécurisé de paiement. Google n'est pas resté en marge, en proposant Androïd Pay, et le recours au Host Card Emulation (HCE) qui permet de stocker les références bancaires dans le nuage informatique.
Le HCE se présente comme un service intégré au système d'exploitation d'un mobile, qui permet, via des interfaces dédiées (les « API21 »), de dialoguer avec le NFC. L'API peut ainsi émuler une carte virtuelle au sein du mobile pour communiquer avec le lecteur sans contact. Il n'est dès lors plus nécessaire d'utiliser le Secure Element pour héberger une application de paiement et ses données sensibles : les clés de déchiffrement du numéro de carte dans l'appli stockée dans la mémoire non sécurisée du mobile permettent de réaliser un paiement suite à des échanges OTA (Over The Air) nécessitant de la connectivité, ou, lorsqu'il n'y a pas d'accès Internet, via un système de tokenisation.
Le HCE ne va pas sans provoquer certaines réactions :
côté GAFA, le HCE est la possibilité d'entrer sur le marché du paiement de proximité NFC, via des terminaux de paiement électroniques sans contact de plus en plus fréquemment installés dans le monde, et ce sans passer d'accord avec les opérateurs télécom ;côté GAFA22, le HCE est la possibilité d'entrer sur le marché du paiement de proximité NFC, via des terminaux de paiement électroniques sans contact de plus en plus fréquemment installés dans le monde, et ce sans passer d'accord avec les opérateurs télécom ;
de l'autre côté, MasterCard et Visa ne peuvent ignorer Google et Android qui représentent aujourd'hui 80 % des smartphones vendus dans le monde. Se présentant comme neutre quant à la technologie utilisée, le leitmotiv demeure les garanties liées à la sécurité.de l'autre côté, MasterCard et Visa ne peuvent ignorer Google et Android qui représentent aujourd'hui 80 % des smartphones vendus dans le monde. Se présentant comme neutre quant à la technologie utilisée, le leitmotiv demeure les garanties liées à la sécurité.
Et côté sécurité, tout semble se jouer à ce stade au niveau des API.
Le déploiement d'interfaces de programmation (API)
La notion d'API a déjà fait largement son apparition dans le monde des technologies : il s'agit d'un ensemble d'appels prédéfinis qui accèdent à un service via une passerelle. Les API apparaissent aujourd'hui comme la solution la plus à même à répondre aux problématiques de sécurité mises en exergue ci-dessus.
Il existe plusieurs types d'API :
les API privées, issues d'une intégration informatique où l'API a été conçue par un prestataire informatique pour les besoins d'un client donné. C'est la solution utilisée pour les données les plus sensibles ;les API privées, issues d'une intégration informatique où l'API a été conçue par un prestataire informatique pour les besoins d'un client donné. C'est la solution utilisée pour les données les plus sensibles ;
les API publiques : très répandues, et peu sécurisées. Citons à titre d'exemples Twitter ou Google Maps ;les API publiques : très répandues, et peu sécurisées. Citons à titre d'exemples Twitter ou Google Maps ;
les Open API : il s'agit d'API conçues pour un large public, qui impliquent l'acceptation de conditions d'utilisation, et un enrôlement d'authentification visant à garantir la sécurité. L'API s'apparente à « un objet dans une boîte en verre trempé : on peut voir l'objet, on peut secouer cette boîte, mais on ne peut pas le toucher ». D'une part, il est techniquement facile de verrouiller la passerelle en cas de faille, et, d'autre part, l'authentification permet également de réduire le risque de fraude. Les Open API ont donné naissance à la révolution de l'Open Banking, qui permet aux banques de donner accès à leurs back-offices via les Open API : la banque se présente alors comme le coffre-fort des données et offre la solution de sécurité tant attendue. Le projet défendu est celui de la « bank-as-a-platform ». Il reste néanmoins encore un chemin important pour parvenir à une modélisation et une standardisation des Open API permettant l'interopérabilité entre les services assurant la sécurité des données dans ce nouvel écosystème.les Open API : il s'agit d'API conçues pour un large public, qui impliquent l'acceptation de conditions d'utilisation, et un enrôlement d'authentification visant à garantir la sécurité. L'API s'apparente à « un objet dans une boîte en verre trempé : on peut voir l'objet, on peut secouer cette boîte, mais on ne peut pas le toucher »23. D'une part, il est techniquement facile de verrouiller la passerelle en cas de faille, et, d'autre part, l'authentification permet également de réduire le risque de fraude. Les Open API ont donné naissance à la révolution de l'Open Banking, qui permet aux banques de donner accès à leurs back-offices via les Open API : la banque se présente alors comme le coffre-fort des données et offre la solution de sécurité tant attendue. Le projet défendu est celui de la « bank-as-a-platform »24. Il reste néanmoins encore un chemin important pour parvenir à une modélisation et une standardisation des Open API permettant l'interopérabilité entre les services assurant la sécurité des données dans ce nouvel écosystème.
Enfin, ce panorama ne serait pas complet sans faire mention de la dernière révolution qui est en cours, et qui vise à coupler les avantages de la monnaie électronique au chiffrement par le biais du blockchain, en vue de permettre un règlement instantané, et assurer l'indépendance avec les réseaux et infrastructures bancaires centralisés.
Initialement est apparu le bitcoin, cette monnaie utilisée dans le dark web, puis sont apparues des copies concurrentes. Ces monnaies virtuelles cryptées (crypto-currency) permettent de faire fi de l'existence de tiers tels que les banques pour gérer les comptes et dont le traitement est décentralisé auprès de tiers processeurs indépendants : toutes les transactions sont stockées sur une base de données accessible à tous ces acteurs et chacun peut l'utiliser pour enregistrer les transactions.
Plus besoin de système de compensation : la place des banques est dès lors susceptible d'être remise en question, d'autant que l'on transfère « la confiance vers la puissance de calcul de la machine plutôt qu'aux tiers de confiance traditionnels qui étaient jusqu'à présent les banques »25. In fine, notre banquier se fera-t-il voler le premier rôle de ce western par les algorithmes eux-mêmes ?
Mots-clés: Informatique; Données personnelles; Secret bancaire; Données bancaires; Règlement général sur la protection des données
NOTES:
[note 1] PE et Cons. UE, règl. (UE) 2016/679, 27 avr. 2016 : JOUE n° L 119, 4 mai 2016 ; JCP E 2016, dossier 1323 à 1329.
[note 2] T. Lanxade, Une révolution qui doit profiter au développement économique, La Jaune et la Rouge : revue mensuelle de l'École Polyethnique n° 724, avr. 2017.
[note 3] Petit-déjeuner GDPR - Premiers retours d'expérience - Cabinet Aramis - 3 mai 2017.
[note 4] Il semblerait justifié d'appliquer un raisonnement analogue aux projets d'agrégation de données des établissements de crédit et de financement, d'autant plus lorsque l'on garde à l'esprit qu'aux termes de l'article 10-r de l'arrêté du 3 novembre 2014, les prestations de services essentielles externalisées, comprennent également les opérations connexes mentionnées aux 1, 2,3, 7 et 8 du I de l'article L. 311-2, aux 1, 2, 5 et 6 de l'article L. 321-2 et aux articles L. 522-2 et L. 526-2 du Code monétaire et financier.
[note 5] Ch. Boutonnet, La sécurité des données : Hors-série Banque et droit, mars-avr. 2017 - Protection des données personnelles.
[note 6] CIGREF, Valororisation des données dans les grandes entreprises, oct. 2016.
[note 7] Ch. Boutonnet, La sécurité des données, préc.
[note 8] Hors-série Banque et droit, mars-avr. 2017 - Protection des données personnelles.
[note 9] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_fr.pdf
[note 10] Préc.
[note 11] H. Sitruk et J. Braun, Un bouleversement porté par l'innovation et les nouvelles règlementations : La Jaune & la Rouge, mensuel de L'École Polytechnique, avr. 2017.
[note 12] Cet élément est appelé EMV (pour Eurocard, MasterCard, Visa).
[note 13] Un investissement lié à la modification de l'ensemble des terminaux de paiement.
[note 14] https://sanscontact.wordpress.com/2014/02/24/ce-quil-faut-retenir-des-annonces-visa-et-mastercard-sur-le-hce-et-les-consequences-sur-lecosysteme-nfc/
[note 15] Cette technologie est une extension de la norme ISO/CEI 14443 standardisant les cartes de proximité utilisant la radio-identification (RFID) qui combinent une carte à puce et un lecteur au sein d'un seul périphérique. Un périphérique NFC est capable de communiquer avec des équipements ISO/CEI 14443, avec un autre périphérique NFC ou avec certaines infrastructures sans-contact comme les terminaux de paiement chez les commerçants. La technologie ISO/CEI 14443 équipe des cartes et des lecteurs utilisés dans les transports, dans le commerce ou pour l'accès à certains services publics.
[note 16] Ph. Richard, Le paiement sans contact et sans... sécurité : Techniques de l'ingénieur, 18 janv. 2016. www.techniques-ingenieur.fr/actualite/articles/le-paiement-sans-contact-et-sans-securite-31224/
[note 17] HCE, Apple Pay... Le choc de la simplification du NFC ? : Livre Blanc Galitt, mars 2015.
[note 18] Dans certaines zones peu bancarisées, le mobile apparaît comme un instrument de transfert d'espèces et de paiement, d'authentification forte par l'émission d'un mot de passe utilisable une seule fois, sous la forme de « token ».
[note 19] Préc.
[note 20] Google Pay.
[note 21] Application Programming Interfaces ou interfaces de programmation au niveau applicatif.
[note 22] On pense surtout à Google, Paypal et potentiellement Apple et certaines banques.
[note 23] S. Taveau, Interview de Galitt : Livre blanc déc. 2016, Galitt et De Gaulle Fleurance & Associés, En route vers l'Open Banking ?
[note 24] Il s'agit typiquement de SolarisBank ou Fidor Bank, récemment rachetée par le groupe BPCE.
[note 25] M. Doueihi, in La vie privée à l'ère du numérique : au-delà de la conformité, un enjeu de confiance : www.wavestone.com.
DATE-CHARGEMENT: 20 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Editions du Juris Classeur
Tous droits réservés
360 of 500 DOCUMENTS
Stratégies
19 octobre 2017
Edition 1;
National Edition
Arbitrer entre ultrapersonnalisation et pertinence
AUTEUR: JEAN-BAPTISTE BOUZIGE
RUBRIQUE: L'ÉVÉNEMENT STRATÉGIES SUMMIT 2017; Pg. 23
LONGUEUR: 583 mots
À l'Ère de la multiplication des points de contacts physiques et digitaux, les annonceurs cherchent à mieux hiérarchiser leurs leviers d'engagement et développent de nouvelles ressources pour mieux comprendre le parcours de leurs clients. En effet, les entreprises s'emploient à défier les paradigmes du marketing traditionnel en explorant les outils et méthodes susceptibles de permettre l'ultra-personnalisation.
PROBLÈMES ÉTHIQUES. Cette démarche intellectuellement stimulante se confronte pourtant à de nombreux écueils techniques et conceptuels: le manque de maturité des DMP média déployées dans le marché, les limites d'exécution pour automatiser les aspects créatifs des campagnes, le recul nécessaire pour paramétrer intelligemment des messages via des canaux complexes et congestionnés. L'ultra-personnalisation semble spéculative, tant la définition de ce concept et le champ des possibles varient en fonction du secteur d'activité des annonceurs. Une marque de cosmétique n'ambitionne pas une stratégie d'ultra-personnalisation similaire à un transporteur aérien et ferroviaire, et cela bien qu'ils partagent souvent une même audience! En effet, les boutiques des gares et aéroports sont autant de points de contacts où les données transactionnelles réconciliées avec celles d'un voyagiste permettraient de définir une stratégie pertinente d'ultra-personnalisation. Les cas d'usage de «second party data» demeurent malheureusement rares et exploratoires, il est donc nécessaire de recourir à d'autres approches pour être pertinent auprÈs de ses clients et prospects.
La qualité des données ainsi que l'accÈs à certaines données sensibles et personnelles sont aussi d'importants challenges, l'approche de l'ultra-personnalisation pouvant poser des problÈmes éthiques qui ne manqueront pas d'être particuliÈrement exposés lors de la mise en place de la RGPD en mai 2018. Les annonceurs semblent comprendre la nécessité de développer une approche plus mesurée via le marketing de permission. Le recours à la data science ne devient plus seulement un levier d'accÈs à l'individualisation mais un moyen pour construire des campagnes pertinentes à partir de données plus agrégées et moins sensibles.
MYOPIE MARKETING. Parmi les approches « data driven» plébiscitées par le marché, le «mix modeling » est une des solutions méthodologiques robustes utilisée traditionnellement pour expliquer les drivers de performance. Les nouvelles approches avancées de modeling permettent à présent de déterminer les bonnes audiences, et passer du «target planning» à «l'audience planning». En réconciliant compréhension des comportements clients et pilotage stratégique du ROI, l'audience planning enrichi par le modeling permet de déterminer le ROI par segment de client et par niveau du purchase funnel ainsi que par type de produit. Un des apports les plus significatifs de cette approche est notamment de l'ouvrir à tous les leviers d'activation, et pas seulement les leviers «one to one».
La focalisation exclusive sur une approche d'ultra-personnalisation a pu mener le marché à une myopie marketing et avoir une forte incidence sur la rentabilité des actions engagées, en raison d'une approche trop micro et trop impactée par la qualité des données et les possibilités d'exécution. Il est donc temps de prendre du recul et de comprendre comment la data science peut permettre de mettre de la pertinence à tous les étages de la prise de décision, plutôt qu'une recherche utopique du «one-to-one» généralisé. ?
DATE-CHARGEMENT: October 19, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: « IL EST TEMPS de mettre de la pertinence à tous les étages de la prise de décision, plutôt qu'une recherche utopique du "one-to-one" généralisé. »
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
361 of 500 DOCUMENTS
La Tribune.fr
Lundi 16 Octobre 2017 6:24 AM CET
"La sécurité fait partie du package de l'entreprise du XXIe siècle" (Guillaume Poupard, Anssi)
AUTEUR: Sylvain Rolland
RUBRIQUE: TECHNOS & MEDIAS
LONGUEUR: 1819 mots
ENCART: Présent aux Assises de la Sécurité de Monaco, le rendez-vous annuel des entreprises du secteur cybersécurité, Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (Anssi), s'est confié à "La Tribune" sur la nécessité d'une régulation forte pour pousser les PME à mieux prendre en compte le risque cyber. Il affiche aussi son scepticisme sur le vote électronique totalement sécurisé réclamé par Emmanuel Macron d'ici à 2022. Et dénonce les conflits de souveraineté entre les États européens et Bruxelles sur les enjeux de sécurité.
LA TRIBUNE - Les cyberattaques du printemps dernier, WannaCry et NotPetya, ont montré que les grands groupes ne sont pas les seuls visés par les cybercriminels. Les TPE/PME sont aussi, et de plus en plus, des cibles. Or, la prise de conscience du risque cyber est faible parmi ces entreprises, en partie car les acteurs du secteur s'adressent peu à elles. Est-ce un sujet que vous portez au niveau de l'Anssi ? GUILLAUME POUPARD - Absolument.
On le voit très bien à Monaco : dans le monde de la cybersécurité, les grands parlent aux grands. Les entreprises du secteur réalisent la quasi-totalité de leur chiffre d'affaires avec les sociétés de plus de 500 salariés, laissant les PME et les TPE sans solutions adaptées à leurs besoins, notamment en terme de prix. C'est une vraie carence. Or, comme l'ont montré les cyberattaques mondiales que vous mentionnez, les conséquences d'une attaque sur une PME peuvent être dévastatrices. Si un grand groupe est touché, cela peut lui coûter très cher, financièrement et en termes d'image, mais il ne va pas en mourir. Mais une PME ou une TPE peut mettre la clé sous la porte si son activité est paralysée. C'est inacceptable. Il faut donc que l'État fasse comprendre aux PME/TPE, qui sont en pleine transformation numérique, que la sécurité fait partie du package de l'entreprise du XXIe siècle. La question n'est plus de savoir si on va être attaqué. Ce débat-là est dépassé. L'enjeu, c'est de réaliser qu'il n'y a que deux types d'entreprises : celles qui ont déjà été attaquées, et celles qui ne le savent pas encore. La "fraude au président", les campagnes de phishing, les malwares ou encore les ransomwares concernent tout le monde. Le sens de l'histoire voudrait que les TPE/PME s'engagent sur une externalisation forte de leur système informatique. Autrement dit, que leur sécurité soit prise en charge par des entreprises qui leur proposent des offres dans le cloud en mode SaaS [Software as a Service, Ndlr], à des prix compétitifs. Le seul cap cohérent est que la sécurité des PME devienne un service parmi d'autres. Mais pour qu'une PME accepte d'externaliser ses systèmes informatiques, il faut de la confiance... C'est pour cela que l'Anssi a mis en place un système de certification et de qualification pour les éditeurs de solutions de sécurité dans le cloud. Pour l'obtenir, les entreprises doivent répondre à des exigences de sécurité très élevées. De manière générale, il est difficile d'imposer la certification. Certains gros éditeurs, qui sont en situation de quasi-monopole, s'en plaignent car ils voient cela comme une contrainte supplémentaire. Ils se demandent pourquoi ils devraient faire un effort particulier pour le marché français. C'est là où l'Europe a un rôle essentiel à jouer pour mettre la pression sur les éditeurs, car le marché est énorme. Le chantier de la certification doit être une priorité pour l'Europe. Avec une régulation plus forte, les entreprises seront forcées de considérer la sécurité comme une préoccupation majeure, surtout avec l'éclosion de l'Internet des Objets. De notre côté, l'Anssi soutient depuis plusieurs années des initiatives concrètes pour mieux protéger les TPE/PME. Nous avons lancé des appels à candidatures pour lancer des projets subventionnés dans le cadre du Plan d'investissement d'avenir (PIA), comme le développement de box sécurisées par exemple. Nous fédérons aussi des démarches portées par des grands groupes, comme Airbus, qui ont besoin que leurs sous-traitants soient aussi très bien sécurisés. L'initiative Cybermalveillance.gouv.fr, qui vise à offrir aux particuliers, aux TPE et aux PME des outils en cas d'attaque, a été incubée à l'Anssi. La France va également transposer la directive européenne NIS, qui vise à imposer des obligations de sécurité à d'autres acteurs. Pourquoi est-ce nécessaire ? La directive NIS vise à élargir la notion d'opérateurs d'importance vitale (OIV), qui sont des organisations ou des entreprises considérés comme stratégiques, dans des secteurs comme la défense ou l'énergie. La notion « d'opérateurs de services essentiels » va être créée. Les acteurs concernés devront respecter des obligations de sécurité plus strictes. Ce sont des acteurs très importants, avec un impact économique ou société majeur, mais dont l'activité n'est pas considérée comme vitale pour le bon fonctionnement de la France. Normalement, ce texte sera voté d'ici à mai 2018. Il est actuellement en phase de validation finale à Matignon. La Commission européenne a présenté il y a deux semaines un « paquet cyber », un ensemble de mesures de lutte contre les cyberattaques à l'encontre des entreprises. Bruxelles veut que l'agence européenne de cybersécurité, l'ENISA, devienne le pilier de ce dispositif. Mais cela réduit de fait le rôle des agences nationales, donc de l'Anssi... C'est vrai. Ce n'est pas pour prêcher pour ma paroisse, mais je ne pense pas que l'ENISA, une agence européenne de 80 personnes dotée d'un budget de 10 millions d'euros, soit en capacité de mener cette mission, même avec des moyens financiers doublés. La priorité est d'abord d'élever le niveau de la sécurité dans chaque pays européen, car il y a de très fortes inégalités dans la conscience du risque cyber entre les différents pays. La France, l'Allemagne ou encore l'Estonie sont en pointe. Il faut donc plutôt encourager le partage d'informations et d'expertises, qui sont aujourd'hui insuffisants, plutôt que de créer une équipe de pompiers volants à l'ENISA. C'est une harmonisation par le bas. Je le dis : donner à l'ENISA la responsabilité de la gestion de crise et de la réponse en cas de cyberattaque sur les entreprises ne marchera pas. Si les pays en retard comptent sur l'ENISA pour les protéger au lieu d'investir eux-mêmes pour leur propre sécurité, ils seront déçus. Comment interprétez-vous alors la décision de Bruxelles ? Il faut prendre conscience du fait qu'on oscille en permanence entre des enjeux de souveraineté nationale et de souveraineté européenne. Certains sujets doivent être traités au niveau européen, d'autres au niveau national. C'est une séparation très subtile, et tout ce qui ne la respecte pas est voué à l'échec. La commission a envie d'unifier la politique cyber et a logiquement pensé à l'ENISA pour porter cette harmonisation. Ce raisonnement est naturel, mais il court-circuite l'idée que la sécurité est un domaine régalien avant tout. Pourquoi n'avez-vous pas été entendu ? Premièrement, la Commission manque peut-être de recul et de connaissance pointue du sujet pour en saisir toutes les subtilités. Deuxièmement, il ne faut pas nier les conflits de souveraineté entre les États de l'UE et Bruxelles. La Commission est tentée par l'idée de faire basculer dans le champ européen de plus en plus de choses qui relevaient de la compétence nationale. Enfin, au risque d'être un peu cru, il y a aussi le rôle à ne pas négliger des lobbys, portés par des industriels ou des pays non-européens. Ces acteurs ne veulent pas d'un renforcement des capacités cyber des pays européens. Ils nous tirent dans le dos. On connaît ce genre de lobbys dans de nombreux domaines, mais ils existent aussi dans le cadre de la cyber et ils sont dangereux. Certains États nous apprécient faibles. Certains industriels non-européens ne veulent pas qu'on mettre des exigences dans le niveau de sécurité de leur équipement. Il faut donc lutter, via beaucoup de pédagogie. Malgré tout, 80% du paquet cyber est intéressant. Seuls 20% me paraissent inadaptés, pas assez ambitieux et inefficaces au niveau opérationnel. Je ne prête pas de mauvaise intention à la Commission, d'autant plus qu'il existe en ce moment un foisonnement d'initiatives vraiment ambitieuses, comme la directive Nis, le règlement Eidas, celui sur la protection des données personnelles (RGPD). Mais les sujets cyber méritent encore d'être mieux compris, pour que leur complexité soit mieux traduite dans les textes. Tout reste encore à inventer dans certains domaines, comme la diplomatie cyber, par exemple. Autre sujet chaud : le vote électronique. Emmanuel Macron a réclamé début octobre le retour du vote par Internet d'ici à 2022 pour les Français de l'étranger. Celui-ci était disponible en 2012, mais a été annulé en 2017 pour des raisons de sécurité. Cela vous-semble-t-il possible, par exemple en utilisant la blockchain, que beaucoup voient comme la solution pour des transactions totalement sécurisées ? La blockchain est une technologie parmi d'autres, mais ce n'est pas la solution à tous les problèmes de l'humanité, malgré ce que certains veulent faire croire. Elle n'est pas exemple de vulnérabilités. Si 51% de ses utilisateurs se liguent ensemble, elle est compromise. Le problème du vote électronique est qu'il faut aussi que l'ordinateur, la tablette ou le smartphone sur lequel on vote soit sécurisé. Mais des millions de personnes votent chacun sur leur propre outil, dont certains sont forcément mal protégés. Si un hacker s'intercale entre vous et le système de vote, via un logiciel malveillant installé à votre insu sur votre ordinateur, votre vote sera compromis. La base du vote par Internet est donc instable. C'est pour cela que je préfère le bon vieux papier dans l'urne. Le vote électronique ne peut fonctionner qu'avec une racine de confiance, qui pourrait être une identité électronique sécurisée. De nombreux pays l'ont déjà mise en place, mais toujours pas la France... A mon avis, c'est via cette plateforme qu'il faudrait construire un système de vote électronique. Mais tant que les gens continueront à voter avec leur propre PC, le vote électronique me paraît impossible, même d'ici à 2022. L'Anssi travaille-t-elle sur l'intelligence artificielle et ses impacts sur les enjeux de sécurité ? Nous sommes vraiment à l'affût. L'Anssi, qui emploie plus de 500 personnes au total, a ses propres laboratoires de recherche en interne. Nous sommes aussi très bien connectés aux laboratoires académiques et aux centres de recherche comme l'IRT SystemX de Saclay, qui fait travailler ensemble la communauté scientifique, les grands groupes et de petites entreprises autour de projets structurants. On étudie comment utiliser l'intelligence artificielle à des fins de sécurité, et les brèches qu'elle peut aussi causer. Le principal danger autour de l'IA est une concentration des systèmes intelligents autour de quelques géants du Net, qui capteraient une part énorme des données produites dans le monde. La mission confiée au député Cédric Villani sur l'IA vise justement à préciser le positionnement de l'Etat, des industriels et de la recherche, pour aller vers un usage de l'IA conforme à nos valeurs. Si nous regardons les géants du numérique faire ce travail à notre place, le résultat ne nous conviendra sûrement pas. Propos recueillis par Sylvain Rolland
Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).(830071.png)
DATE-CHARGEMENT: 16 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
362 of 500 DOCUMENTS
Décision Achats
14 octobre 2017
Edition 1
Fleet managers : ce que le RGPD va changer pour vous
AUTEUR: SONIA PUIATTI
RUBRIQUE: FLEET MANAGEMENT ACTUS; Pg. 58,59
LONGUEUR: 1420 mots
ENCART: Champ d'application, contraintes, actions de mise en conformité mais aussi ROI, le point sur les conséquences de la future entrée en application du règlement européen sur la protection des données, avec Laure Landes-Gronowski, avocate associée au cabinet Avistem.
Le règlement européen sur la protection des données personnelles du 27 avril 2016 laissait deux ans aux entreprises pour se mettre en conformité. Son entrée en application définitive est prévue pour le 25 mai 2018. Voici ce qu'il faut retenir en matière de fleet management.
Quelles données sont concernées ? Le RGPD encadre toutes les données à caractère personnel concernant une personne physique identifiable : cela peut être son nom, son adresse mais aussi son comportement (sa conduite, ses achats, dans sa vie personnelle et/ou professionnelle). Pour une entreprise, cela comprend toutes les données traitées dans un fichier (même Excel). Tous les secteurs sont concernés dès lors que des données de contact sont en jeu, en B to C comme en B to B (un contact de fournisseur par exemple). En matière de fleet, ce sont les informations sur les conducteurs et notamment la géolocalisation, l'analyse comportementale et prédictive, les pratiques de déplacement et d'utilisation des usagers, les véhicules connectés, les plateformes d'autopartage... Quelles contraintes ? Toutes les contraintes imposées par le RGPD ne sont pas nouvelles puisque certaines étaient déjà édictées dans la loi Informatique et Libertés du 6 janvier 1978.
-La transparence : l'entreprise doit informer les personnes concernées du traitement de leurs données, par exemple dans le contrat de travail (pas obligatoire) ou dans la car policy, et préciser la teneur des données dont elle dispose. Dans certains cas, le consentement est requis, si leur traitement est attentatoire à la vie privée. Dans tous les cas, l'entreprise est obligée de répondre aux demandes d'exercice du droit d'accès.
-La proportionnalité : la récolte des données doit être strictement nécessaire, de même que leur durée de conservation (limite d'un an pouvant être contournée si les données sont anonymisées). Par exemple, l'entreprise a le droit de récolter des données de géolocalisation pour optimiser les tournées, gérer la facturation ou le dépannage, mais il lui est interdit de le faire pour suivre le temps de travail des salariés, notamment ceux qui ont le droit d'organiser leur temps de travail comme ils le souhaitent. -La sécurité : les données conservées doivent être soumises à des contraintes fortes (gestion stricte des habilitations, traçabilité des accès). Cette obligation est valable en interne comme en externe. Si une entreprise fait appel à un prestataire sous-traitant qui a accès à des fichiers de données, il doit être soumis à des obligations de sécurité renforcée contractuellement. En effet, l'entreprise est responsable si elle n'a pas pris les précautions nécessaires. Hertz a été condamné à ce titre en juillet dernier par la Cnil pour une fuite de données due en réalité à son sous-traitant développeur, auquel il aurait dû imposer des garanties de sécurité suffisantes.
STOCK /ADOBE GRAPHICROYALTY Quelles actions de mise en conformité ? Le principe de privacy by design et by default édicté par le RGPD signifie que tout projet entamé dans l'entreprise, au sens large, doit être soumis à la notion de privacy initiale dans ses process et tout au long de son cycle de vie. Pour ce faire, l'entreprise a la possibilité de mettre en place un cahier des spécifications technicojuridique (analyse d'impact, vérification du respect des obligations). Le principe d'accountability est l'aspect de responsabilisation des entreprises. Celles-ci doivent en effet déployer les mesures organisationnelles et techniques nécessaires pour le respect des dispositions applicables et doivent être en mesure d'en démontrer l'effectivité et l'efficacité. L'accountability impose un formalisme et un référentiel documentaire de la part de l'entreprise, qui doit tenir un registre des traitements mis en oeuvre en interne (qui comprend les politiques et les procédures internes pour tous les métiers de l'entreprise) et désigner un DPO (data protection officer) le cas échéant. Plus aucune déclaration auprès de la Cnil n'est nécessaire.
Quel ROI ? Les actions de mise en conformité évoquées ci-dessus vont servir à cartographier et recenser les risques pour l'entreprise, qui maîtrisera mieux ses vulnérabilités et sera en mesure de déployer une véritable gouvernance data afin d'anticiper les risques et éviter des sanctions à l'évolution exponentielle (20 millions d'euros ou 4 % du CA annuel mondial. En comparaison, Hertz a été condamné à payer une amende de "seulement" 40 000 euros). « Dans le monde des affaires, ces pratiques sont synonymes de transparence et de confiance. D'autre part, elles comptent dans l'évaluation RSE qui revêt une importance stratégique et renvoie une image vertueuse génératrice de confiance pour les clients et partenaires », analyse Laure Landes-Gronowski. Enfin, ces actions sont une garantie de bonne répartition des responsabilités à la fois pour les clients et pour les prestataires, un avantage compétitif certains pour les appels d'offres et les partenariats. « Ce point peut devenir bloquant dans le cadre de la contractualisation, quand les parties ne savent pas ce qui est géré », poursuit l'avocate. Les entreprises ont donc tout intérêt à s'y atteler, et rapidement.. SONIA PUIATTI Bemobi propose une offre de gestion de flotte de vélos à assistance électrique R « Les modes de transport évoluent et le vélo à assistance électrique a toute sa place dans le paysage de la multimodalité », estiment les dirigeants de Bemobi (entité du Groupe La Poste dédiée à la mobilité durable), qui a lancé une offre de gestion de flotte de vélos à assistance électrique à destination des entreprises et des collectivités. Une nouvelle offre qui va, espèrent-ils, « permettre d'accélérer l'adoption du vélo pour les trajets quotidiens et trajets professionnels en favorisant l'expérimentation ». L'objectif n'est pas de remplacer l'ensemble d'une flotte, souligne Frédéric Delaval, directeur de l'UA écomobilité Bemobi-Groupe La Poste, « mais bien de compléter les modes existants : VLS, autopartage, taxis, véhicules d'entreprise, et ainsi ouvrir à d'autres modes de déplacement ». S'appuyant sur le savoir-faire du Groupe La Poste, acquis au travers de la gestion de 25 000 vélos à assistance électrique destinés aux facteurs, cette démarche s'inscrit dans une dynamique déjà engagée au niveau européen. En effet, les pouvoirs publics, conscients de ces évolutions et des bénéfices indéniables de la pratique du vélo en matière de santé et d'environnement, ont lancé plusieurs actions en faveur de son développement : plans de mobilité, plan national vélo, indemnités kilométriques vélo. Bemobi propose trois offres :. L'offre vélo partage : partager son vélo avec ses collègues. Améliorer la mobilité des collaborateurs grâce à la mise en place de vélos en libre-service, expérimenter le vélo au quotidien pour des déplacements intersites, pour son trajet domicile-travail, pour profiter de la pause méridienne ou faire quelques courses. Une station d'accueil connectée à un système de réservation en ligne est installée sur site et les vélos, ainsi que les équipements de sécurité, sont à disposition du salarié à tout moment.
. L'offre vélo de fonction pour des trajets personnels et professionnels : faciliter l'accès de ses collaborateurs à la mobilité active en optant pour le vélo de fonction. Le pack est composé par le salarié parmi une gamme de vélos et accessoires permettant plus de 50 combinaisons et, ainsi, de s'adapter aux besoins individuels : un siège bébé, un vélo cargo par exemple. En complément, un service d'assistance est proposé pour offrir confort et tranquillité en toutes circonstances.. L'offre vélo location longue durée en collectivité : permettre à des citoyens de disposer durant 3 à 12 mois d'un vélo à assistance électrique. La collectivité propose un dispositif clés en main grâce au service complet de gestion et d'assistance Bemobi : plateforme de gestion et d'administration de la flotte de vélos à assistance électrique, système informatisé de réservation et de paiement, assistance et maintenance, communication auprès des usagers. En favorisant l'expérimentation, ce dispositif permet de contribuer durablement à la réduction de la voiture sur un territoire. Les vélos mis à disposition sont pensés et conçus pour un usage utilitaire au quotidien et bénéficient d'une autonomie de 60 km en moyenne. Chaque vélo est assuré et dispose d'un équipement de sécurité et d'hygiène (casque, gilet, antivol agréé etc.) ainsi que d'un panier ou de sacoches pour faciliter le transport de charges. .
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DAT
Copyright 2017 Décision Achats
tous droits réservés
363 of 500 DOCUMENTS
La Tribune
Samedi 14 Octobre 2017
"La sécurité fait partie du package de l'entreprise du XXIe siècle" (Guillaume Poupard, Anssi)
AUTEUR: Sylvain Rolland
RUBRIQUE: FOCUS; Pg. 13
LONGUEUR: 1820 mots
ENCART: Présent aux Assises de la Sécurité de Monaco, le rendez-vous annuel des entreprises du secteur cybersécurité, Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (Anssi), s'est confié à "La Tribune" sur la nécessité d'une régulation forte pour pousser les PME à mieux prendre en compte le risque cyber. Il affiche aussi son scepticisme sur le vote électronique totalement sécurisé réclamé par Emmanuel Macron d'ici à 2022. Et dénonce les conflits de souveraineté entre les États européens et Bruxelles sur les enjeux de sécurité.
LA TRIBUNE - Les cyberattaques du printemps dernier, WannaCry et NotPetya, ont montré que les grands groupes ne sont pas les seuls visés par les cybercriminels. Les TPE/PME sont aussi, et de plus en plus, des cibles. Or, la prise de conscience du risque cyber est faible parmi ces entreprises, en partie car les acteurs du secteur s'adressent peu à elles. Est-ce un sujet que vous portez au niveau de l'Anssi ? GUILLAUME POUPARD - Absolument.
On le voit très bien à Monaco : dans le monde de la cybersécurité, les grands parlent aux grands. Les entreprises du secteur réalisent la quasi-totalité de leur chiffre d'affaires avec les sociétés de plus de 500 salariés, laissant les PME et les TPE sans solutions adaptées à leurs besoins, notamment en terme de prix. C'est une vraie carence. Or, comme l'ont montré les cyberattaques mondiales que vous mentionnez, les conséquences d'une attaque sur une PME peuvent être dévastatrices. Si un grand groupe est touché, cela peut lui coûter très cher, financièrement et en termes d'image, mais il ne va pas en mourir. Mais une PME ou une TPE peut mettre la clé sous la porte si son activité est paralysée. C'est inacceptable. Il faut donc que l'État fasse comprendre aux PME/TPE, qui sont en pleine transformation numérique, que la sécurité fait partie du package de l'entreprise du XXIe siècle. La question n'est plus de savoir si on va être attaqué. Ce débat-là est dépassé. L'enjeu, c'est de réaliser qu'il n'y a que deux types d'entreprises : celles qui ont déjà été attaquées, et celles qui ne le savent pas encore. La "fraude au président", les campagnes de phishing, les malwares ou encore les ransomwares concernent tout le monde. Le sens de l'histoire voudrait que les TPE/PME s'engagent sur une externalisation forte de leur système informatique. Autrement dit, que leur sécurité soit prise en charge par des entreprises qui leur proposent des offres dans le cloud en mode SaaS [Software as a Service, Ndlr], à des prix compétitifs. Le seul cap cohérent est que la sécurité des PME devienne un service parmi d'autres. Mais pour qu'une PME accepte d'externaliser ses systèmes informatiques, il faut de la confiance... C'est pour cela que l'Anssi a mis en place un système de certification et de qualification pour les éditeurs de solutions de sécurité dans le cloud. Pour l'obtenir, les entreprises doivent répondre à des exigences de sécurité très élevées. De manière générale, il est difficile d'imposer la certification. Certains gros éditeurs, qui sont en situation de quasi-monopole, s'en plaignent car ils voient cela comme une contrainte supplémentaire. Ils se demandent pourquoi ils devraient faire un effort particulier pour le marché français. C'est là où l'Europe a un rôle essentiel à jouer pour mettre la pression sur les éditeurs, car le marché est énorme. Le chantier de la certification doit être une priorité pour l'Europe. Avec une régulation plus forte, les entreprises seront forcées de considérer la sécurité comme une préoccupation majeure, surtout avec l'éclosion de l'Internet des Objets. De notre côté, l'Anssi soutient depuis plusieurs années des initiatives concrètes pour mieux protéger les TPE/PME. Nous avons lancé des appels à candidatures pour lancer des projets subventionnés dans le cadre du Plan d'investissement d'avenir (PIA), comme le développement de box sécurisées par exemple. Nous fédérons aussi des démarches portées par des grands groupes, comme Airbus, qui ont besoin que leurs sous-traitants soient aussi très bien sécurisés. L'initiative Cybermalveillance.gouv.fr, qui vise à offrir aux particuliers, aux TPE et aux PME des outils en cas d'attaque, a été incubée à l'Anssi. La France va également transposer la directive européenne NIS, qui vise à imposer des obligations de sécurité à d'autres acteurs. Pourquoi est-ce nécessaire ? La directive NIS vise à élargir la notion d'opérateurs d'importance vitale (OIV), qui sont des organisations ou des entreprises considérés comme stratégiques, dans des secteurs comme la défense ou l'énergie. La notion « d'opérateurs de services essentiels » va être créée. Les acteurs concernés devront respecter des obligations de sécurité plus strictes. Ce sont des acteurs très importants, avec un impact économique ou société majeur, mais dont l'activité n'est pas considérée comme vitale pour le bon fonctionnement de la France. Normalement, ce texte sera voté d'ici à mai 2018. Il est actuellement en phase de validation finale à Matignon. La Commission européenne a présenté il y a deux semaines un « paquet cyber », un ensemble de mesures de lutte contre les cyberattaques à l'encontre des entreprises. Bruxelles veut que l'agence européenne de cybersécurité, l'ENISA, devienne le pilier de ce dispositif. Mais cela réduit de fait le rôle des agences nationales, donc de l'Anssi... C'est vrai. Ce n'est pas pour prêcher pour ma paroisse, mais je ne pense pas que l'ENISA, une agence européenne de 80 personnes dotée d'un budget de 10 millions d'euros, soit en capacité de mener cette mission, même avec des moyens financiers doublés. La priorité est d'abord d'élever le niveau de la sécurité dans chaque pays européen, car il y a de très fortes inégalités dans la conscience du risque cyber entre les différents pays. La France, l'Allemagne ou encore l'Estonie sont en pointe. Il faut donc plutôt encourager le partage d'informations et d'expertises, qui sont aujourd'hui insuffisants, plutôt que de créer une équipe de pompiers volants à l'ENISA. C'est une harmonisation par le bas. Je le dis : donner à l'ENISA la responsabilité de la gestion de crise et de la réponse en cas de cyberattaque sur les entreprises ne marchera pas. Si les pays en retard comptent sur l'ENISA pour les protéger au lieu d'investir eux-mêmes pour leur propre sécurité, ils seront déçus. Comment interprétez-vous alors la décision de Bruxelles ? Il faut prendre conscience du fait qu'on oscille en permanence entre des enjeux de souveraineté nationale et de souveraineté européenne. Certains sujets doivent être traités au niveau européen, d'autres au niveau national. C'est une séparation très subtile, et tout ce qui ne la respecte pas est voué à l'échec. La commission a envie d'unifier la politique cyber et a logiquement pensé à l'ENISA pour porter cette harmonisation. Ce raisonnement est naturel, mais il court-circuite l'idée que la sécurité est un domaine régalien avant tout. Pourquoi n'avez-vous pas été entendu ? Premièrement, la Commission manque peut-être de recul et de connaissance pointue du sujet pour en saisir toutes les subtilités. Deuxièmement, il ne faut pas nier les conflits de souveraineté entre les États de l'UE et Bruxelles. La Commission est tentée par l'idée de faire basculer dans le champ européen de plus en plus de choses qui relevaient de la compétence nationale. Enfin, au risque d'être un peu cru, il y a aussi le rôle à ne pas négliger des lobbys, portés par des industriels ou des pays non-européens. Ces acteurs ne veulent pas d'un renforcement des capacités cyber des pays européens. Ils nous tirent dans le dos. On connaît ce genre de lobbys dans de nombreux domaines, mais ils existent aussi dans le cadre de la cyber et ils sont dangereux. Certains États nous apprécient faibles. Certains industriels non-européens ne veulent pas qu'on mettre des exigences dans le niveau de sécurité de leur équipement. Il faut donc lutter, via beaucoup de pédagogie. Malgré tout, 80% du paquet cyber est intéressant. Seuls 20% me paraissent inadaptés, pas assez ambitieux et inefficaces au niveau opérationnel. Je ne prête pas de mauvaise intention à la Commission, d'autant plus qu'il existe en ce moment un foisonnement d'initiatives vraiment ambitieuses, comme la directive Nis, le règlement Eidas, celui sur la protection des données personnelles (RGPD). Mais les sujets cyber méritent encore d'être mieux compris, pour que leur complexité soit mieux traduite dans les textes. Tout reste encore à inventer dans certains domaines, comme la diplomatie cyber, par exemple. Autre sujet chaud : le vote électronique. Emmanuel Macron a réclamé début octobre le retour du vote par Internet d'ici à 2022 pour les Français de l'étranger. Celui-ci était disponible en 2012, mais a été annulé en 2017 pour des raisons de sécurité. Cela vous-semble-t-il possible, par exemple en utilisant la blockchain, que beaucoup voient comme la solution pour des transactions totalement sécurisées ? La blockchain est une technologie parmi d'autres, mais ce n'est pas la solution à tous les problèmes de l'humanité, malgré ce que certains veulent faire croire. Elle n'est pas exemple de vulnérabilités. Si 51% de ses utilisateurs se liguent ensemble, elle est compromise. Le problème du vote électronique est qu'il faut aussi que l'ordinateur, la tablette ou le smartphone sur lequel on vote soit sécurisé. Mais des millions de personnes votent chacun sur leur propre outil, dont certains sont forcément mal protégés. Si un hacker s'intercale entre vous et le système de vote, via un logiciel malveillant installé à votre insu sur votre ordinateur, votre vote sera compromis. La base du vote par Internet est donc instable. C'est pour cela que je préfère le bon vieux papier dans l'urne. Le vote électronique ne peut fonctionner qu'avec une racine de confiance, qui pourrait être une identité électronique sécurisée. De nombreux pays l'ont déjà mise en place, mais toujours pas la France... A mon avis, c'est via cette plateforme qu'il faudrait construire un système de vote électronique. Mais tant que les gens continueront à voter avec leur propre PC, le vote électronique me paraît impossible, même d'ici à 2022. L'Anssi travaille-t-elle sur l'intelligence artificielle et ses impacts sur les enjeux de sécurité ? Nous sommes vraiment à l'affût. L'Anssi, qui emploie plus de 500 personnes au total, a ses propres laboratoires de recherche en interne. Nous sommes aussi très bien connectés aux laboratoires académiques et aux centres de recherches comme l'IRT SystemX de Saclay, qui fait travailler ensemble la communauté scientifique, les grands groupes et de petites entreprises autour de projets structurants. On étudie comment utiliser l'intelligence artificielle à des fins de sécurité, et les brèches qu'elle peut aussi causer. Le principal danger autour de l'IA est une concentration des systèmes intelligents autour de quelques géants du Net, qui capteraient une part énorme des données produites dans le monde. La mission confiée au député Cédric Villani sur l'IA vise justement à préciser le positionnement de l'Etat, des industriels et de la recherche, pour aller vers une usage de l'IA conforme à nos valeurs. Si nous regardons les géants du numérique faire ce travail à notre place, le résultat ne nous conviendra sûrement pas. Propos recueillis par Sylvain Rolland
Guillaume Poupard, le patron de l'Agence nationale de la sécurité des systèmes d'information (ANSSI). (830071.png)
DATE-CHARGEMENT: 13 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
364 of 500 DOCUMENTS
Marketing
14 octobre 2017
Edition 1
Jouez la sécurité
AUTEUR: FLORIANE SALGUES
RUBRIQUE: EXPERTISE; Pg. 50,51
LONGUEUR: 1085 mots
ENCART: Comment se préparer au RGPD ?
À quelques mois de l'entrée en vigueur du règlement sur la protection des données personnelles, l'inquiétude est de mise.
Feuille de route pour se mettre en ordre de marche. FLORIANE SALGUES ? Tic, tac... Le règlement sur la protection des données personnelles (RGPD en français et GDPR en anglais) entrera en vigueur le 25 mai 2018. À quelque 8 mois de son application, il semble donc (plus qu') urgent de se mettre en conformité avec ce texte qui impacte la façon dont les marques gèrent les données de leurs clients européens. Une série de mesures techniques et organisationnelles doivent ainsi être envisagées, parmi lesquelles la nomination d'un délégué à la protection des données (DPO), l'état des lieux du traitement des data en cours, ou encore la sécurisation des données (pseudonymisation et chiffrement).
Car le coût à payer en cas de manquement aux exigences est lourd: de 10 millions d'euros (ou 2 % du chiffre d'affaires mondial annuel), en cas d'absence de DPO ou de registre de données à jour, par exemple, à 20 millions d'euros (ou 4 % du chiffre d'affaires global) pour les marques n'ayant pas prévu de traitement pour les données sensibles ou ayant transféré des données hors de l'Union européenne.
Sans compter les sanctions opérationnelles - à l'instar de l'obligation d'effacer certaines données -, ainsi que l'inchiffrable risque de détériorer sa réputation de marque et la confiance de ses clients. Si les géants américains, Google, Facebook et autre Amazon, grands collecteurs de données des citoyens européens, devraient être les premiers contrôlés - et le cas échéant, ils risquent d'être sanctionnés, "pour l'exemple" -, toutes les marques sont concernées et il leur appartient de saisir l'opportunité d'une remise à plat de leurs data.
Pour se mettre en ordre de marche, il peut être bon d'envisager un rétroplanning ou une feuille de route, récapitulatif des principales étapes obligatoires, par exemple. Et d'allouer, bien sûr, les moyens humains et financiers nécessaires pour assurer la réussite du projet. Nombre de prestataires se sont déjà positionnés pour aider les entreprises à être "GDPR compliant", en temps et en heure : voici les solutions de trois d'entre eux.?r @FLOSALGUES
Consulting et solutions logicielles... avec Coheris
Audit et formations... avec ESV Digital
Diagnostic et recommandations... avec DBi (Havas Group)
1
2
3
COHERIS Formation, cartographie et monitoring de données sensibles
«Tous nos clients nous parlent de la RGPD, mais pour la plupart se disent mal informés et ne savent pas par où commencer », glisse Lucette Gaillard, directrice marketing de Coheris, éditeur de solutions logicielles dans les domaines du CRM et de la business analytics. La professionnelle conseille, en premier lieu, « de se familiariser avec la réglementation générale sur les données personnelles, dans les grandes lignes ». Puis de nommer un DPO (ou un représentant RGPD pour les petites entreprises), de cartographier les données personnelles récoltées et les traitements associés, et enfin de mettre à jour le lieu de stockage des data et le cheminement pour les retrouver. «Le RGPD met l'accent sur la finalité du traitement,
. Identifier les data à risque.
. Revoir son CRM.
. Scruter les commentaires.
explique Solen Bienaise, consultante data scientist au sein de Coheris. Les marques doivent donc être sûres, et pouvoir prouver, que toutes les données récoltées ont une utilité.» Sont-elles transférées hors UE ? quel est le niveau de sécurité ? y a-t-il des données sensibles dans mon CRM ?... Autant de questions auxquelles Coheris se propose de répondre via le lancement de quatre offres mixant consulting et solutions logicielles. Au programme: une formation pratique d'une journée et une cartographie des données personnelles et sensibles Mais aussi une fonctionnalité intégrée au CRM pour que les clients soient "RGPD compatibles" et un module "RGPD Text-control", afin d'identifier les données sensibles ou interdites dans les commentaires libres d'une application.?
ESV DIGITAL Remettre à plat sa collecte de données
Le RGPD, une fatalité ? « Il s'agit du bon moment pour prendre du recul et balayer les problématiques de données au sein de l'entreprise », note, au contraire, Stanislas di Vittorio, CEO ESV Digital. Car il en va de l'image de la marque. « Une faille sur la sécurité devra être notifiée par la marque à tous ses clients, explique Stanislas di Vittorio. Les conséquences peuvent être dramatiques. » La feuille de route conseillée par ESV Digital ? En priorité, nommer un DPO et constituer un registre de traitement
des données, mais aussi faire le point sur la situation des sous-traitants, responsables avec la marque - nouveauté du RGPD - du bon traitement des données à caractère personnel. La division conseil d'ESV Digital propose ainsi des audits de marques et des formations pour constituer une roadmap des mesures techniques et organisationnelles à déployer.?
. Se poser les "bonnes" questions.
. Nommer un DPO.
. Scruter les pratiques des sous-traitants.
DBI (HAVAS GROUP) Un programme technologique en 3 étapes...
«Le RGPD oblige à repenser la gouvernance de la donnée dans les entreprises; c'est une chance de redonner confiance aux consommateurs dans le traitement fait par les marques de leurs data », explique Arnaud Schmite, secrétaire général du pôle media d'Havas Group. Pour les aider à faire du règlement une opportunité, DBi, agence de conseil d'Havas Group, a donc conçu, avec One Trust, un "programme technologique". Celui-ci se découpe en 3 étapes, précise Christopher Caussin, head of DBi France : "initier" (se former, nommer un DPO, évangéliser l'entreprise), "diagnostiquer" et "mettre en oeuvre". «La phase de diagnostic
. Initier et évangéliser.
. Diagnostiquer les risques.
. Optimiser son plan de taggage.
correspond au recensement des data exploitées, des traitements et des acteurs impliqués, relève-t-il, mais, aussi à la collecte du consentement, à la mesure des risques ou encore à la suppression des collectes de données non utiles. »Après le diagnostic, DBI propose donc des recommandations sur l'évaluation des risques associés au traitement, sur l'optimisation des tags et sur la priorisation des chantiers. « La tendance des dernières années a été de placer trop de tags sur les sites ou de multiplier l'utilisation de solutions, de retargeting par exemple, sans besoin réel, fait part Christopher Caussin. Il est temps de changer de stratégie. » Pour un acteur du retail B to C, DBI a ainsi procédé au retrait de 20 % de tags obsolètes. ?
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2017 Marketing
tous droits réservés
365 of 500 DOCUMENTS
Marketing
14 octobre 2017
Edition 1
2 Facebook, Google... et moi, et moi, et moi
AUTEUR: CLÉMENT FAGES @CLEMFAGES
RUBRIQUE: EN COUVERTURE; Pg. 40,42,44
LONGUEUR: 1873 mots
ENCART: Face à leur dépendance vis-à-vis de Google et Facebook, les annonceurs cherchent des alternatives. Si les alliances régies ont la cote, des solutions et des stratégies permettent également de passer outre le duopole. CLÉMENT FAGES
w Soyons honnêtes : « Plus les années passent, plus les Gafa proposent des solutions qui vont loin dans l'hyperciblage et la performance. Les entreprises ont créé leur propre dépendance à Google et Facebook, qui restent les seuls à pouvoir toucher autant de monde, de façon aussi précise et avec une telle performance. Du moins les seuls à pouvoir le faire... seul », explique Olivier Mazeron, ex-CEO de GroupM Connect et fondateur de l'agence Sutter Mills. D'entrée, la quête d'alternatives aux deux géants semble compromise. En démocratisant la publicité en ligne et en s'appuyant sur leurs audiences massives, leurs données et leurs formats innovants, tout en s'imposant auprès des agences et des annonceurs comme des "one-stop advertising", Google, Facebook et leurs filiales YouTube ou Instagram ont-ils totalement verrouillé le marché ?
Data & programmatique, le nombre fait la force Olivier Mazeron offre un début de réponse. Pour résister, il faut s'unir : « Le programmatique est un exemple. Mis bout à bout, les inventaires des autres éditeurs agrégés par les trading desks offrent un reach équivalent. Et bien maîtrisé, ce mode d'achat permet un niveau de ciblage et de performance satisfaisant. Plus le marché publicitaire utilise des outils technologiques avancés comme ceux du programmatique, plus il y aura d'alternatives crédibles. » Google et Facebook sont minoritaires en programmatique : « Environ 20 % des inventaires mis en vente passent par Google Display Network. Ce n'est pas rien, mais cela laisse une bonne marge de manoeuvre », pense Yohann Dupasquier, CEO de Tradelab, pépite française du RTB, qui pèse environ 5 % des achats programmatiques display selon le Syndicat des régies internet et rivalise avec l'ex-licorne hexagonale Criteo, leader du secteur avec 20 % des achats. Côté vente, Adobe, AppNexus et Smart Ad Server, créé en 2001 par aufeminin.com pour « pallier les faiblesses de Google », selon Cyrille Geffray, son CEO, représentent là encore des alternatives aux produits de Mountain View pour les annonceurs souhaitant garder la main sur leurs données. Sur ce point aussi, le nombre fait la force : « Les éditeurs mettent sur le marché une grande variété de data qui, bien agrégées et couplées aux données CRM de l'annonceur, permettent d'avoir une sérieuse alternative à la puissance de Google ou Facebook. Ces derniers vendent des segments d'audience préfabriqués quand nous construisons un segment unique, dédié à l'annonceur à partir des données brutes de nos partenaires », explique Yohann Dupasquier. Nielsen, Oracle, Neustar, les data providers ne manquent pas, à l'image d'Ogury. Ce spécialiste des données issues des applications mobiles revendique « 400 millions de profils en base », selon Jean Canzoneri, son cofondateur. « Nous voyons quelles applications sont utilisées et ce que font les mobinautes dedans. Média, gaming, m-commerce... Nous disposons de données qui échappent à Facebook ou Google et nous les obtenons avec un consentement explicite. » Autre solution : le data sharing. « De plus en plus de clients s'y intéressent. Les marques et les éditeurs se rendent compte de la puissance de leurs données, qui peuvent regorger d'opportunités pour une autre marque », explique Olivier Mazeron. « Avec la RGPD qui devrait réduire le nombre de données tierces disponibles, c'est une piste d'avenir, d'autant que les données sont plus qualitatives et contextualisées », ajoute Jean-Baptiste Bouzige, cofondateur d'Ekimetrics. Tradelab mise également sur la qualité de la contextualisation : « Nous scorons la valeur des emplacements publicitaires en fonction de l'annonceur : nombre de publicités sur la page, taux de visibilité de l'emplacement, type de contenu de la page et proximité ou éloignement avec une marque. Pour un client comme Bonduelle, nous allons attendre qu'un internaute ciblé soit sur un site de cuisine pour répondre à une enchère. C'est l'endroit le plus pertinent pour que le message soit mémorisé. » Natif & premium au nom du brand safety « Les annonceurs se demandent s'ils doivent faire confiance aux deux géants ou aux acteurs du programmatique en général, ou revenir sur des partenariats plus classiques, sur des sites éditoriaux qui seront plus en adéquation avec l'image de la marque et qui permettent de construire des parcours plus cohérents », commente François-Xavier Leroux, associé chez Deloitte Digital. Contextualisation pertinente et brand safety : des arguments que l'on retrouve du côté d'acteurs comme Teads ou ViewPay, qui se positionnent sur les formats natifs ou d'advertainment. « La puissance de Google ou de Facebook repose sur le reach, le nombre d'impressions qu'ils sont capables de diffuser et la data. Depuis le rapprochement avec Altice, nous avons la data. Avec 90 % de taux de couverture selon les chiffres de Médiamétrie (juin 2017), soit 41,2 millions de visiteurs uniques mensuels dans l'Hexagone, nous avons le reach. Et enfin, nous délivrons plus d'un milliard d'impressions par mois en France, qui plus est dans des formats natifs. Cela a son importance : YouTube ou Facebook sont des hébergeurs qui ne maîtrisent pas leurs contenus, à la différence des éditeurs de presse. C'est un argument de poids à l'heure où tous les annonceurs parlent de "brand safety" ! », avance Geoffrey La Rocca, dg de Teads et ancien journaliste, qui fait le parallèle entre les articles des médias et les contenus viraux et autres fake news que l'on retrouve chez les Gafa. Même topo chez Marc et Virginie Leprat, à la tête de ViewPay, une solution qui propose d'accéder gratuitement à un service ou contenu payant en regardant une publicité sélectionnée parmi celles de trois annonceurs : « Nous créons de l'utilité à la publicité. Si l'internaute regarde la publicité jusqu'au bout, il débloque l'accès au contenu. Sinon, il ne débloque pas l'article et l'annonceur n'est pas facturé. L'agrément est très fort vis-à-vis de la marque puisque l'utilisateur choisit lui-même l'annonceur et va être beaucoup plus engagé : le taux moyen d'interaction dans les vidéos sur Internet est compris entre 0,3 et 0,6 %. Avec notre modèle, c'est entre 3 et 10 %. Enfin, nous travaillons en gré à gré. Les annonceurs savent où sont diffusées leurs campagnes et, à l'inverse de Google et Facebook, nous sommes ouverts à tous les tiers de confiance. » ViewPay travaille avec 18 000 hotspots et 30 éditeurs de presse régionale en France, soit « une audience d'environ 22 millions de lecteurs de PQR ».
Idem pour l'accès au wi-fi, qui ouvre également de nombreuses possibilités en matière de publicités géolocalisées et drive-to-store, qui sont justement au coeur des derniers chantiers de Facebook. Mais en la matière, les Gafa arrivent dans un secteur en pleine effervescence, avec des acteurs bien connus : « S4M s'est constitué via sa plateforme technologique mobile une audience quasiment égale à celle de Facebook sur le même device et ils lancent désormais des formats dédiés aux retailers. Il y a aussi les solutions comme Fidzup, qui permettent de capter de la donnée en magasin pour mener ensuite des campagnes de retargeting drive-to-store », cite Olivier Mazeron. Les historiques du secteur ne sont pas en reste, à l'image d'HighCo, pionnier du marketing de la grande distribution qui a fait l'acquisition de Capital Data et investit dans Yuzu. Deux start-up qui analysent les historiques d'achat pour recibler les consommateurs « en display ou en e-mailing », explique Nicolas Cassar, CMO de CapitalData, avec l'avantage de connaître précisément l'impact sur les ventes de ces publicités puisque sa solution est reliée aux caisses d'une enseigne partenaire comme Franprix.
L'e-mailing ou le content marketing comme leviers alternatifs L'évocation de l'e-mailing n'est pas anodine. En parallèle des solutions alternatives aux Gafa, les annonceurs peuvent actionner des leviers tout aussi performants. « Les marques se doivent de mieux exploiter leur CRM en mettant de l'intelligence dans leurs campagnes d'e-mailing, de push notifications ou en personnalisant leurs sites. Le développement des DMP a rappelé aux marques qu'elles pouvaient utiliser d'autres leviers média pour toucher leurs consommateurs », rappelle Raphaël Fétique, directeur associé de Converteo. Même constat chez François-Xavier Leroux : « Les taux de transformation des campagnes e-mailing sont relativement faibles, sauf à être couplées avec la puissance de la connaissance client. Une offre adressée à la bonne étape du parcours client et liée à son historique d'achat sera efficace, mais cela demande aux équipes marketing une compréhension fine de la cible. C'est un nouvel exercice de media-planning. » S'il y a pléthore de solutions d'e-mail marketing et de marketing automation, reste à acquérir cette connaissance client. La mise en place d'une stratégie de contenu ou d'influence peut ainsi servir un double objectif : créer une base de clients potentiels réadres sables par l'annonceur, tout en profitant des services de Google ou Facebook, sans pour autant investir pour communiquer sur leurs plate formes. « Bien que difficilement mesurable, le marketing d'influence est quelque chose de très important pour les marques, dans une logique de branding mais aussi de création de contacts qu'il faut ensuite retravailler », poursuit François-Xavier Leroux, citant un annonceur comme L'Oréal, « qui développe des contenus périodiques pour renvoyer vers ses plateformes e-commerce ». Au-delà des influenceurs, le succès et l'audience de médias sociaux comme Brut représentent une alternative intéressante pour les marques désireuses de développer une stratégie de brand content. « Sur Facebook ou sur Instagram, l'intérêt est de devenir un centre de gravité via une stratégie de contenus qualitatifs », explique Jean-Baptiste Bouzige, qui étend son analyse au search : « Sur Google, un Sephora peut sortir très haut en SEO sur des marques qu'il ne distribue même pas, simplement parce que Google le considère pertinent sur le sujet. En cosmétique, les résultat les plus performants sont obtenus par les marques qui ont une compréhension fine du parcours de leur client et qui développent des stratégies de contenus en conséquence. » Une approche sectorielle qui peut enfin s'avérer payante sur d'autres moteurs de recherche ou réseaux sociaux : « Avec le lancement d'une offre publicitaire en 2018, Pinterest pourrait dépasser Google en matière de liens sponsorisés. C'est un excellent canal pour les produits inspirationnels, comme la nourriture ou l'ameublement. Bing, qui ne représente en France que 5 à 7 % des sources de trafic, recèle aussi d'opportunités pour le secteur de l'habitat, avec un public CSP+ et senior et bénéficie d'un coût par clic plus faible que sur AdWords (42 % de moins selon une étude Adgooroo 2016), en raison d'une concurrence moins forte », conclut Pierre Lechat, responsable webmarketing de l'agence Intuiti.
r @CLEMFAGES
Data & programmatique,
le nombre fait la force
« Marques et éditeurs ont conscience
de la puissance de leurs données. »
Olivier Mazeron, fondateur de l'agence Sutter Mills
L'e-mailing ou le content
marketing comme
leviers alternatifs
« Les marques doivent
mieux exploiter leur CRM. »
Raphaël Fétique, directeur associé de Converteo
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: MKT
Copyright 2017 Marketing
tous droits réservés
366 of 500 DOCUMENTS
Economie Matin
13 octobre 2017 01:52 PM GMT
Tout comme le "bug l'an 2000", le RGPD est le signal d'alarme dont les entreprises avaient besoin
LONGUEUR: 696 mots
Nous avons tous passé un nombre d'heures incalculable à tenter de devenir de parfaits experts du règlement général sur la protection des données (RGPD ou GDPR en anglais). Si vous êtes comme moi, vous êtes loin d'en avoir saisi tous les tenants et les aboutissants. Malheureusement, que le règlement soit clair ou non, il y a urgence. Les nombreuses mises en garde dans les médias et la course à l'information concernant le nouveau règlement rappellent le bug informatique de l'an 2000. Tout comme en 1999, un vent de panique général commence à souffler autour des questions de la conformité, des sanctions financières et de la perte d'activité potentielle si nous n'opérons pas de grands changements. Bien que toutes les entreprises aient le regard braqué sur les systèmes informatiques, il est possible de retourner la situation à son avantage.
Le RGPD ne se résume pas à la protection de la vie privée ni à l'ampleur des sanctions financières encourues. C'est aussi l'opportunité de procéder à un examen global de son portefeuille de solutions de sécurité et de déterminer les mesures à prendre pour se conformer à cette législation majeure. La sécurité est un problème qui relève de l'entreprise, pas de l'informatique. Avec l'appui des dirigeants d'entreprise, il est possible de tirer parti du RGPD afin d'élaborer une stratégie de bout en bout pour les systèmes informatiques. Agrave; la clé, une plus grande visibilité sur son réseau et une meilleure préparation aux changements futurs ainsi qu'aux prochaines cyberattaques. Maîtriser la croissance du réseau grâce à l'automatisation En cas de violation de la sécurité, en particulier lorsqu'elle est imputable à un programme malveillant, les systèmes informatiques doivent être mis hors service. Pour l'entreprise, cela peut se traduire par des millions de pertes de revenus, sans compter une atteinte durable à sa réputation. Les sources potentielles de violation de la sécurité sont innombrables, ce qui constitue le principal facteur d'incitation à l'action. Les entreprises s'appuient de plus en plus sur les objets connectés, depuis les anciennes technologies opérationnelles (comme les capteurs d'énergie), en passant par les appareils GPS, jusqu'aux derniers systèmes connectés d'éclairage ou de verrouillage. Le réseau est un immense tissu " d'endpoints ", composé d'un coeur et de millions d'appareils utilisateur gravitant en périphérie, et les données des clients peuvent transiter par chacun d'eux. Sans une visibilité sur l'intégralité de ce paysage et le déploiement de stratégies de sécurité plus rigoureuses, la perte de données client est presque inévitable. Quand on discute avec des DSI, ils insistent bien souvent sur la nécessité d'auditer l'ensemble du réseau afin d'identifier chaque point de contact avec les données des clients. Bien qu'il s'agisse d'un élément clé de la conformité au RGPD, se limiter à cet aspect revient à éluder une partie du problème. Pour une véritable sécurité de bout en bout, les DSI doivent s'employer à : Segmenter le réseau pour pouvoir examiner chaque utilisateur et appareil séparément Automatiser la configuration du réseau à l'aide de l'apprentissage automatique Cette approche combinée permettra aux machines de mieux appréhender les appareils connectés et les comportements utilisateur. Elles pourront ainsi reconnaître les nouveaux comportements et prendre les mesures qui s'imposent, comme la réauthentification réseau, la mise en quarantaine, ou l'inscription sur liste noire de l'utilisateur ou de l'appareil. Le tout sans aucune intervention du personnel informatique. Les systèmes informatiques peinent à faire face à la croissance exponentielle du réseau. Le RGPD n'est que le début d'une préoccupation croissante à l'égard de la sécurité, qui n'est pas prête de faiblir. Pour gérer la sécurité des endpoints, les utilisateurs et leurs appareils de manière efficace et viable, une vue fragmentée du réseau n'est plus de mise. Le réseau de demain formera un écosystème consolidé permettant de créer des stratégies uniques en tout lieu et à tout moment. C'est notre meilleure chance de nous préparer aux défis qui nous attendent.
DATE-CHARGEMENT: 17 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
367 of 500 DOCUMENTS
Le Monde.fr
Vendredi 13 Octobre 2017
Les libertés individuelles, oubliées de la smart city
AUTEUR: Claire Legros
LONGUEUR: 944 words
C'est un chantier titanesque qui se construit chaque jour à l'aide de capteurs discrets, disséminés dans les quartiers, les immeubles, et jusqu'au fond de nos poches. Avec la promesse réjouissante d'une cité fluide, optimisée, assainie, sécurisée. Mais la ville connectée est-elle compatible avec la protection des droits et libertés des individus? Qu'en est-il de l'intérêt général lorsque la donnée se concentre, un peu plus chaque jour, entre les mains de quelques grands acteurs privés?
Soucieuse d'apporter sa pierre à l'édifice de la smart city, la Commission nationale de l'informatique et des libertés (CNIL) a publié, mardi 10octobre, une riche synthèse des travaux de son laboratoire d'innovation numérique, intitulée «La plate-forme d'une ville, les données personnelles au coeur de la fabrique de la smart city». La gardienne des données personnelles y explore les enjeux politiques et sociaux de la cité numérique et souligne les dérives à l'oeuvre dans des villes dévoreuses de données.
L'individu, «smartphone ambulant»
Avec un premier constat: si le concept de smart city fait l'objet de multiples publications, son impact sur la vie privée reste peu exploré: la protection des données personnelles demeure «le parent pauvre de ces travaux». «L'individu reste un problème à régler, ou au mieux (...) un smartphone ambulant dont les données seraient essentielles à la bonne conduite de la ville», notent les auteurs.
Google, Facebook, mais aussi Uber et AirBnb... Les industriels de la donnée ont établi de nouveaux rapports de force, sans égard pour les principes d'information et de consentement, pourtant inscrits dans la loi mais «particulièrement affaiblis dans les technologies de la smart city». Cette masse grandissante de données renouvelle les possibilités de surveillance dans l'espace urbain, comme l'ont montré les travaux de la chercheuse Liesbeth van Zoonen sur la porosité entre les différents usages.
Or, collectivités et entreprises n'ont plus que quelques mois pour se mettre en conformité avec le nouveau règlement européen général pour la protection des données (RGPD), qui prévoit des sanctions plus importantes et de nouveaux droits pour les citoyens.
L'instance le rappelle et préconise la création de «comités consultatifs sur la vie privée» dans les collectivités. Elle souhaite aussi encourager le développement de technologies protectrices de la vie privée, comme par exemple des dispositifs du type «Do not track» adaptés aux objets connectés en milieu urbain.
Des flux de plus en plus privatisés
En remodelant la ville, l'économie des plates-formes rebat aussi les cartes du pouvoir. De nouveaux équilibres se mettent en place où les géants numériques contournent les acteurs publics, dépossédés de leur capacité à organiser le marché des services urbains, au risque de perdre de vue l'intérêt général au profit des intérêts particuliers.
C'est dans le domaine des mobilités que se posent les questions les plus aiguës. Des applications qui, comme Waze, fluidifient le trafic, peuvent aller à l'encontre des politiques publiques. Les urbanistes qui «cherchent à redessiner le réseau routier afin de supprimer les raccourcis» doivent désormais lutter contre des algorithmes «qui font de la satisfaction de leur utilisateur un optimum absolu». Quitte à conseiller des rues tranquilles bordées par une école ou une crèche. A l'inverse, des quartiers défavorisés, signalés «à risque» par les applications, voient leur trafic diminuer alors qu'«injecter du flux dans ces zones pourrait les déghettoïser».
Comment redonner la main aux autorités garantes de l'intérêt général? Pour y répondre, les auteurs de l'étude ont adopté une démarche originale. Pendant trois mois, de novembre2016 à janvier2017, ils ont mené des ateliers de «design fiction» pour explorer des problématiques imaginaires à l'horizon 2026, ces scénarios servant à documenter des propositions.
Portabilité citoyenne de la donnée
Les pistes proposées sont ambitieuses. Elles portent sur l'ouverture des données, y compris celles d'acteurs privés peu disposés en général à partager le trésor sur lequel ils sont assis. La CNIL imagine des mécanismes qui, chacun à leur niveau, contribueraient à rééquilibrer les pouvoirs entre acteurs publics et privés: élargir par exemple le périmètre des «données d'intérêt général» consacrées par la loi «République numérique», ou encore généraliser un «open data du secteur privé». Une façon de changer les règles du jeu au nom de l'intérêt général.
Les auteurs accordent une place toute particulière à une forme de gouvernance innovante, celle des communs urbains, inspirés par les travaux de l'économiste Elinor Ostrom et développés depuis plusieurs années par Valérie Peugeot, elle-même membre de la CNIL. Des données produites par des acteurs publics ou privés seraient gérées comme une ressource communautaire selon un mode de gouvernance partagée déjà à l'oeuvre dans le domaine du logiciel libre ou des licences Créative Commons.
L'idée pourrait s'appuyer sur l'un des dispositifs majeurs du nouveau RGPD, le «droit à la portabilité», mis en place au printemps 2018. Il permettra aux personnes qui le souhaitent de récupérer leurs données personnelles dans un format ouvert et lisible par une machine. Pourquoi ne pas en confier une partie, dans un cadre précis, à un acteur public afin de participer à des missions d'intérêt général?
Reste à savoir comment les pouvoirs publics s'empareront de ces travaux. «Le numérique exige plus que des solutions ponctuelles, note Isabelle Falque-Pierrotin, présidente de la CNIL, dans son introduction au dossier. C'est bien un nouveau design de la ville qu'il nous impose d'imaginer.»
DATE-CHARGEMENT: 13 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
368 of 500 DOCUMENTS
Les Echos Weekend
vendredi 13 octobre 2017
Comment protéger sa vie privée sur Internet
AUTEUR: JESSICA BERTHEREAU
RUBRIQUE: ARTICLE; Je choisis des mots de passe solides; Pg. 85 N°. 94
LONGUEUR: 2636 mots
ENCART: Rien de plus facile, pour une personne malveillante ou une entreprise intéressée par nos données personnelles, que de nous pister via nos machines numériques. Même si on n'a rien à cacher, mieux vaut ne pas laisser ouvertes les portes et les fenêtres digitales. Petit guide d'hygiène numérique.
Dans le documentaire très remarqué Nothing to Hide (2016) de Marc Meillassoux et Mihaela Gladovic, le jeune artiste Max Thommes, persuadé de n'avoir rien à cacher de sa vie, accepte de laisser « hacker » - espionner - son MacBook, son iPhone et ses applications pendant un mois. Le contenu ne sera même pas analysé, seulement les « métadonnées », les données sur les données : heures de connexion, géolocalisation, objet des mails, fréquences de communication... L'expérience est édifiante, sinon terrifiante quant à la « perspicacité » du logiciel espion. Pour nous, pas besoin de faire l'expérience de Thommes. Tous, de plein gré, par paresse ou à notre insu, nous laissons en permanence derrière nous de multiples traces numériques, pièces d'un puzzle aisé à reconstituer pour dresser de nous un profil digital d'une criante vérité. De quoi satisfaire un espion mal intentionné ou une entreprise décidée à faire son miel de nos données. Car, dans le modèle dominant de publicité sur Internet, celle dite « ciblée », ces informations individuelles ou collectives sont une vraie mine d'or.
Comme on dit dans le marketing, si c'est gratuit, c'est que le produit c'est vous ! Où vous êtes-vous rendu, avec qui avez-vous communiqué et par quel moyen, quels sites Internet avez-vous visités, qu'y avez-vous consulté, acheté ? Il faut bien moins d'un mois pour connaître par le menu notre emploi du temps, nos goûts, nos habitudes, notre cercle social, notre situation financière, nos opinions politiques, nos convictions religieuses, nos orientations sexuelles, nos rencontres... Une journaliste de The Guardian, assidue sur Tinder a réussi - non sans difficultés - à se procurer les données collectées à son sujet depuis quatre ans par l'appli de contact : au total 800 pages d'informations précises, très personnelles et très intimes ! Tinder prévient d'ailleurs, pour qui prend la peine de lire les petits caractères, que ces données peuvent être utilisées pour de la publicité ciblée. Et qu'il ne faut pas penser qu'elles sont en parfaite sécurité ! Alors, n'ai-je vraiment rien à cacher ? « Ce n'est pas un argument recevable, assure Rayna Stamboliyska, auteur du livre "La Face cachée d'Internet" (Larousse, 2017). Nous avons tous et toutes quelque chose à cacher. Cependant, avoir une vie personnelle et une intimité ne veut pas dire qu'on est un criminel ou qu'on agit comme tel. »
Le problème réside surtout dans le profilage que permet cette accumulation de données et dans ses applications potentielles : évaluer un risque de crédit, calculer une prime d'assurance, etc. Sans compter le danger de voir nos données éparpillées dans la nature à la faveur d'une cyberattaque, comme ce fut le cas récemment pour 143 millions d'Américains suite au piratage de la société Equifax. À l'échelle individuelle, c'est aussi le risque d'être victime d'un virus ou d'autres mésaventures dommageables comme une usurpation d'identité, très souvent synonyme de longues années de galère. Protéger sa vie privée et ses données personnelles dans le monde digital implique donc d'adopter un certain nombre de précautions. « S'il est quasiment impossible de ne pas laisser fuiter des données, à moins de vivre six pieds sous terre, prévient Zenzla, membre du collectif Café Vie Privée, il est toutefois possible d'en limiter la quantité. »
« Pour éviter d'attraper des virus, on se lave les mains. Eh bien, pour éviter une gastro informatique, il y a l'hygiène numérique », image Zenzla, qui prodigue quelques conseils de base. D'abord, choisir des mots de passe solides et uniques en se rappelant que 123456 reste le plus couramment utilisé dans le monde ! Ensuite, mettre à jour régulièrement son système d'exploitation et ses logiciels. Qui n'a jamais cliqué sur « plus tard » alors que son ordinateur lui signalait qu'il était temps de réaliser des mises à jour ? Elles sont pourtant essentielles pour se protéger des virus qui exploitent bien souvent les failles de sécurité non corrigées. Enfin, réaliser régulièrement des sauvegardes de ses fichiers sur des supports déconnectés des réseaux permet de prévenir quelques désagréments.
Je choisis des mots de passe solides
La Commission nationale de l'informatique et des libertés (CNIL), recommande d'adopter un mot de passe « robuste », capable notamment de résister à un robot qui va mouliner à très haute vitesse toutes les solutions possibles. Pour elle, il doit être formé d'au moins 12 caractères de 4 types différents (minuscules, majuscules, chiffres, caractères spéciaux), ne pas être lié à votre identité et être unique pour chaque service. Cette approche, prônée aux États-Unis par l'Institut national des normes et de la technologie (NIST), a été longtemps le dogme dominant. L'inventeur de ces bonnes pratiques, Bill Burr, les a cependant récemment reniées. Il recommande dorénavant, comme le NIST, d'adopter des codes longs associant plusieurs mots (longtempsjemesuiscouchedebonneheure) et considère qu'il n'est plus nécessaire de les changer régulièrement - sauf, bien sûr, s'il apparaît qu'ils ont été découverts. Avec la multiplication du nombre de comptes, le problème central est celui de la mémorisation, qui pousse souvent à reprendre la même combinaison, par exemple le bon vieux « prénom + date de naissance »... La solution est d'adopter un gestionnaire de mots de passe. « Nous recommandons KeePass, indique Zenzla. Son algorithme de chiffrement n'a jamais été violé. » Ce logiciel libre est d'ailleurs certifié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI). Enfin, quand la double identification est proposée (mot de passe puis confirmation via votre smartphone, un code envoyé par SMS ou un e-mail), adoptez-la !
Je réduis mes traces numériques
Première étape, bien choisir son navigateur. La Quadrature du Net, une association de défense des droits et libertés des citoyens sur Internet, préconise d'utiliser Firefox. Développé par la fondation à but non lucratif Mozilla, ce navigateur est libre, c'est-à-dire que son code source peut être librement lu, modifié et partagé. De ce fait, il « offre une garantie de sécurité qu'aucun de ses concurrents les plus populaires ne pourrait offrir », estime la Quadrature du Net sur le site controle-tes-donnees.net. Mais ensuite, quel que soit le navigateur choisi, il est important de le paramétrer correctement. « La plupart des sites Internet embarquent des contenus en provenance d'autres sites : publicités, boutons de partage de réseaux sociaux, etc. Par ce biais, les sites tiers récupèrent des informations sur votre navigation », explique Jérémie Patonnier, chef de projet relations développeurs chez Mozilla. Il est donc conseillé de bloquer les cookies (des petits fichiers enregistrés sur votre disque dur) tiers et de faire en sorte que tous les cookies téléchargés soient effacés automatiquement à chaque fois que vous fermez votre navigateur.
Vous pouvez aller plus loin. « Aujourd'hui, tous les navigateurs ont un système d'extensions qui permet d'augmenter le niveau de raffinement du blocage et la protection contre la fuite de données », souligne Jérémie Patonnier. Parmi les logiciels antitraceurs les plus connus, on trouve uBlock Origin, Privacy Badger, HTTPS Everywhere, Ghostery ou Disconnect.me. « Utiliser des extensions est le niveau 0 de la paranoïa. Si vous voulez passer au niveau supérieur et être anonyme, utilisez le navigateur Tor », indique Zenzla. Tor Browser est le navigateur, basé sur Firefox, du réseau mondial décentralisé Tor qui anonymise l'origine des connexions.
Deuxième étape : le choix du moteur de recherche. « Beaucoup de nos recherches sont de l'ordre de l'intime et Google est finalement le premier à qui l'on fait part de nos questionnements », fait remarquer Tristan Nitot, directeur produit chez Cozy Cloud et auteur du livre Surveillance :// (C & F Éditions, 2016). Face à l'américain, quasi hégémonique en France, il invite à utiliser de préférence Qwant, un moteur de recherche européen explicitement développé pour protéger la vie privée des utilisateurs et dont le modèle économique repose sur l'affiliation. « Nous ne vous traçons pas, nous ne gardons pas votre adresse IP, nous n'avons aucune information sur qui vous êtes ni sur où vous allez », assure ainsi Éric Léandri, directeur général de Qwant. Il existe aussi des méta-moteurs de recherche, comme DuckDuckGo ou StartPage, qui transmettent votre requête à d'autres moteurs, servant ainsi d'intermédiaire.
Je chiffre les documents sensibles
« À titre personnel, le chiffrement peut être utile si vous souhaitez conserver des documents confidentiels sur un support qui pourrait être volé », estime la CNIL, rappelant que la confidentialité des documents hébergés dans le cloud n'est pas garantie. Ces données y sont généralement stockées en clair, potentiellement lisibles par tout utilisateur disposant de droits privilégiés sur les serveurs. Plusieurs logiciels gratuits tels que AxCrypt et 7-Zip permettent de chiffrer ses documents de façon assez simple (mais attention, c'est irréversible). Par contre, chiffrer ses mails est relativement complexe. « Sécurité ne rime pas souvent avec facilité. Si vous voulez chiffrer vos mails, vous devrez le faire manuellement. Le meilleur moyen est d'utiliser GPG (GNU Privacy Guard), mais ce n'est pas facile à mettre en oeuvre », reconnaît Zenzla. Il existe des services de messagerie chiffrée, comme ProtonMail ou Mailpile, mais le chiffrement automatique ne se fait qu'entre deux boîtes du même fournisseur. En tout cas, gardez à l'esprit qu'expédier un mail, « c'est un peu comme envoyer une carte postale sans enveloppe : les postiers peuvent la lire, même si on se doute bien qu'ils ne le font que très rarement », prévient Tristan Nitot. Ce dernier conseille d'éviter Gmail et, si possible, d'obtenir son propre nom de domaine et sa propre adresse e-mail auprès de sociétés comme Gandi ou OVH.
Je suis prudent sur les réseaux sociaux
Nous partageons beaucoup d'informations personnelles de notre plein gré sur les réseaux sociaux. La première chose à faire est donc de bien paramétrer la confidentialité de son compte. Il faut ensuite prendre certaines précautions. « Évitez de mettre des photos de vos enfants et de dire tout le temps où vous êtes », préconise Zenzla. De son côté, la CNIL recommande de ne pas communiquer sur nos opinions politiques et notre religion. « Quant aux modalités de traitement des données collectées et aux marges de manoeuvre d'opt-out (permission marketing, NDLR), il est préférable de se référer aux conditions générales du réseau », rappelle Rayna Stamboliyska. La grande majorité des internautes ne prend pas le temps de les lire alors qu'elles sont pourtant très instructives. Si vous ne voulez absolument pas que vos données personnelles soient exploitées à des fins publicitaires, vous pouvez rejoindre Framasphère (framasoft.org), un réseau social affilié au réseau international Diaspora. Il a été développé par l'association Framasoft, qui propose des services en ligne équivalents à ceux des géants américains du numérique mais basés sur des logiciels libres et respectant la vie privée des utilisateurs.
Je me méfie de mon smartphone
Tentez cette petite expérience : téléchargez l'application DataRespect (pour l'instant disponible seulement pour Android) puis cliquez sur le bouton « Faites-moi peur ! » Vous découvrirez alors combien d'applications installées sur votre téléphone peuvent savoir à votre insu où vous êtes, accéder à liste de vos contacts, vos fichiers, votre enregistreur, votre caméra, savoir qui vous appelle, connaître votre activité physique... Le smartphone, de fait, est un véritable mouchard ! Soyez donc vigilant quant aux accès que requiert une application lors de l'installation. « La donnée la plus sensible est la géolocalisation, considère Philippe Michel, directeur général de Magush et créateur de DataRespect. Si j'ai votre géolocalisation, je sais tout de vous. » Il suggère de la désactiver le plus souvent possible. Sachant que le wifi et le bluetooth peuvent également permettre de géolocaliser, Philippe Michel applique une solution radicale : « Si je vais faire un quelconque examen médical, même si ce n'est pas grave, je laisse mon téléphone à la maison parce que je n'ai pas envie que ma géolocalisation soit récupérée par n'importe qui. Imaginez que cette information tombe entre les mains d'une assurance ou d'une banque... » Pour limiter la collecte de ses données personnelles, Tristan Nitot a de son côté abandonné les smartphones utilisant Android, qu'il qualifie d'« aspirateur à données », au profit de l'iPhone. « Apple a un business model très lucratif - vendre des gadgets très cher en faisant une très grosse marge - qui ne l'oblige pas à avoir recours à la collecte de données personnelles pour faire du ciblage », explique-t-il. Son seul regret : impossible d'installer des applications libres sur l'iPhone.
Je suis vigilant avec les objets connectés
Trackers d'activité, jouets, assistants vocaux, sextoys, frigos, interrupteurs... les objets connectés envahissent notre quotidien. « Il ne s'agit pas d'une simple passade, les objets connectés vont devenir un véritable mode de vie, assure Zenzla. Mais leur mot de passe installé par défaut n'est presque jamais changé, c'est souvent admin ou 12345. » Il est donc très facile pour une personne malveillante de s'y connecter. « Il faut absolument choisir tout de suite son propre mot de passe », insiste Zenzla. Soyez par ailleurs conscients que ces objets connectés engrangent énormément d'informations sur vos habitudes et votre mode de vie. Informez-vous donc sur les données personnelles recueillies et l'usage qui en est fait. Pour cela, rien ne vaut l'effort de se plonger dans les interminables conditions générales d'utilisation - les fameuses CGU - et la politique de confidentialité ! Et partir ainsi à la recherche de notre identité perdue.
Que va changer le « RGPD » ?
Le règlement général sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018 dans toute l'Union européenne. « Les consommateurs verront leur droit à la vie privée renforcé. Leur consentement devra être explicitement recueilli et le profilage sera mieux encadré », salue Rayna Stamboliyska. Le RGPD s'applique à toutes les entreprises qui traitent des données personnelles de citoyens européens, et donc aussi aux géants américains. En prévoyant des sanctions allant jusqu'à 4% du chiffre d'affaires annuel mondial du contrevenant, « ce texte met véritablement la question des données des citoyens à la hauteur des enjeux », juge Olivier Iteanu, auteur du livre Quand le digital défie l'État de droit (Eyrolles, 2016). Reste une inconnue, souligne cet avocat : « Dans les faits, comment les autorités européennes vont-elles pouvoir contrôler la bonne application du RGPD par des entreprises américaines qui détiennent ces données dans leurs infrastructures aux États-Unis ? »
Pour aller plus loin
La CNIL dispense de nombreux conseils sur son site Internet. Cet été, elle a lancé une campagne de sensibilisation adressée aux jeunes avec une vidéo du youtuber Kevin Tran. https ://www.cnil.fr
L'ANSSI propose un cours en ligne gratuit pour s'initier à la cybersécurité et à la protection des outils numériques en quatre modules, dont deux sont déjà disponibles. https ://www.secnumacademie.gouv.fr
Les cafés Vie Privée sont des ateliers gratuits où des bénévoles prodiguent des conseils en sécurité informatique et en protection de la vie privée. https ://café-vie-privée.fr
Le site Mon Ombre et Moi offre également de nombreuses ressources, dont une excellente « Data detox » à faire en huit jours (en anglais). https ://myshadow.org.
Pour les plus déterminés, la cinquième édition du Guide d'autodéfense numérique vient de paraître. https ://guide.boum.org
DATE-CHARGEMENT: 13 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
369 of 500 DOCUMENTS
Acteurs publics
11 octobre 2017
Les données personnelles, impensées de la "smart city"
RUBRIQUE: ACTUALITES
LONGUEUR: 589 mots
"Individu = smartphone ambulant dont les données seraient essentielles à la bonne conduite de la ville". Et si cette définition entrait pour de bon dans nos dictionnaires, adoubée par des sociétés digitalisées qui n'envisagent plus de la même manière le sujet de la protection des droits et de la vie privée ? C'est la thèse développée dans un opus très pointu du laboratoire d'innovation numérique de la Commission nationale de l'informatique et des libertés (Cnil), publié le 11 octobre.
Alors que le concept de smart city (ville intelligente) fait l'objet de moult publications et autres travaux de recherches, avec plus de 40 000 références dans Google Scholar, 16 millions sur le moteur de recherche, 1 million sur l'actualité, "la protection des données personnelles reste le parent pauvre de ces travaux", relève l'étude.
L'individu, un "problème à régler"
Car l'individu apparaît comme "un problème à régler, ou au mieux, pour certains promoteurs d'une ville participative et contributive, comme un smartphone ambulant", aux données convoitées car essentielles à la bonne conduite de la ville.
Ainsi, subrepticement, "le sujet de la protection des droits et de la vie privée devient une sorte de passage obligé : les promoteurs de la smart city en parlent, affirment cette impérieuse nécessité, mais ne savent ou ne veulent l'orchestrer réellement avec les discours traditionnels", souligne le laboratoire de la Cnil.
Reprenant les analyses du chercheur américain Rob Kitchin, le document expose 6 enjeux relatifs à la vie privée dans les smart cities : l'intensification de la "datafication" ; les risques croissants d'inférences liées aux modèles prédictifs ; l'anonymisation insuffisante permettant la réidentification ; l'opacité et l'automatisation des systèmes créant de la perte du contrôle sur les données ; des données partagées et réutilisées pour des usages et des finalités inattendues et imprévisibles, "menant à une forme de data déterminisme"... Avenir radieux qui marque l'avènement d'une "gouvernementalité algorithmique".
Monétisation et publicité
Dans les smart cities, les mécanismes d'information et de consentement sont "vides de sens ou absents", poursuit, sévère, l'étude de la Cnil. Ce sont ainsi les "pierres angulaires de la protection des données personnelles" qui se trouvent "particulièrement affaiblies dans les technologies" des villes digitales.
Mais alors : quel contrôle pourrons-nous garder sur nos données personnelles à l'heure où "les industriels embarquent généralement leurs modèles économiques, basés pour certains sur la monétisation de données individuelles et sur la publicité" ? C'est l'un des enjeux auxquels le Règlement européen pour la protection des données (RGPD) apporte des réponses, affirme l'étude de la Cnil.
La citoyenneté européenne, gage de protection ?
Avec cette nouvelle régulation qui entre en application en mai 2018, dès lors qu'un service cible un citoyen européen et même si le responsable de traitement ne se situe pas sur le territoire européen, le traitement des données des Européens reste soumis au droit européen, "recréant ainsi la territorialité du droit en fonction de la personne concernée", se félicite le laboratoire de recherche de la Commission.
Un texte qui viendra remettre les entreprises françaises et européennes "à égalité de concurrence avec les entreprises étrangères, même non établies en Europe, dès lors qu'elles ciblent un Européen". "C'est donc un puissant outil d'harmonisation et de souveraineté", conclut, sur une note d'optimisme, la Cnil.
DATE-CHARGEMENT: 11 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Société d'édition publique
Tous droits resérvés
370 of 500 DOCUMENTS
La Tribune
Mercredi 11 Octobre 2017
La cybersécurité au c ur de la relance du projet européen (Florian Bachelier, LREM)
AUTEUR: Florian Bachelier
RUBRIQUE: OPINIONS; Pg. 107
LONGUEUR: 857 mots
ENCART: 99% des incidents de cybersécurité qui surviennent sont transfrontaliers. Ils échappent par définition aux logiques nationales. Par Florian Bachelier Député de l'Ille-et-Vilaine, Premier Questeur de l'Assemblée Nationale.
C'est un tournant historique dans l'histoire de l'Union Européenne. Le Président de la République, Emmanuel Macron, était à Tallin jeudi 28 et vendredi 29 septembre pour le premier Sommet digital de l'UE, qui a placé le numérique au c ur de la relance du projet européen. Avec un pilier central : la souveraineté numérique. Un enjeu qui passe par une politique offensive et efficace en matière de cybersécurité.
Deux semaines plus tôt, c'est le président de la Commission européenne, Jean-Claude Juncker, qui avait annoncé un grand plan de refonte de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), avec une évolution de son mandat d'ici à 2020, dans le but - précisément - d'en faire l'Agence de cybersécurité de l'UE.
Cet effort inédit d'organisation s'est doublé d'un effort législatif et règlementaire de grande ampleur. La directive sur la sécurité des réseaux et des systèmes d'information (Network and Information Security, NIS) ainsi que le Règlement Général sur
la
Protection des Données (RGPD), qui entrent en vigueur en mai 2018, forment les piliers d'une politique ambitieuse de cybersécurité à l'échelon européen. 3 millions d'emplois non pourvus Dans un même mouvement, l'Europe harmonise les cadres, les définitions et les procédures, en contraignant les États à renforcer leurs capacités nationales. Une harmonisation plus que nécessaire, puisque 99 % des incidents de cybersécurité qui surviennent sont transfrontaliers. Ils échappent par définition aux logiques nationales. Ces efforts ne sont qu'à leurs débuts. D'ici 2021, on estime que 3 millions d'emplois en cybersécurité ne seront pas pourvus en Europe, faute de candidats qualifiés. Cette faille béante dans notre sécurité collective représente aussi un formidable gâchis pour un continent marqué, notamment en France, par trois décennies de chômage de masse. En réalité, la cybersécurité gagnerait à être appréhendée pour ce
qu'elle est : un
puissant relai de croissance, d'emploi et de compétitivité, c'est-à-dire une véritable opportunité économique. Les trois priorités du nouveau paysage numérique européen Dans ce nouveau paysage numérique européen qui se dessine, trois priorités se dégagent. Le premier défi est celui de la souveraineté numérique. Nous devons, ensuite, renforcer la sécurité économique de nos entreprises. Et il s'agit, enfin, de nous autoriser à expérimenter, à réinventer nos services publics. Pour réussir cette transition numérique, nous pouvons nous appuyer sur l'exemple estonien et renforcer le co-développement des technologies, comme nous le faisons déjà au sein de l'OTAN. Mais nous ne devons pas nous limiter à l'Alliance Atlantique. L'Europe doit prendre en main les outils de sa cyberdéfense Le Président de la République, Emmanuel Macron, a rappelé dans son discours de la Sorbonne l'impératif de constituer une « capacité autonome de l'Europe, en complément de l'OTAN », y compris en matière de cybersécurité. L'Europe doit donc prendre en main les outils de sa cyberdéfense, et de l'innovation de rupture, pour être le berceau des technologies de demain. Ou comme l'a résumé l'amiral Lacoste :
« Pour contrer et contrôler, il faut savoir et comprendre. » Développer la "cyberhygiène" Pour gagner cette bataille, nous avons besoin de la mobilisation de tous et de toutes.
Pour que nos concitoyens conservent une vraie confiance dans le numérique,
nous devons procéder à une sensibilisation massive au risque cyber et développer ce que l'on appelle la « cyberhygiène », pour réduire au maximum les facteurs de risque. Il s'agit, en outre, d'accompagner les nouveaux usages, d'offrir un droit à l'expérimentation, à l'erreur. En bref, un droit à l'innovation.La souveraineté numérique est un enjeu considérable pour la France du 21e siècle. Durant ce siècle, se succèderont quatre générations de Français. Et comme le rappelait le Président de la République à la Sorbonne :
« Nous devons gagner leur gratitude, autrement, nous ne mériterons que leur mépris. » Cette bataille pour la cybersécurité, et plus particulièrement pour la maîtrise et la sécurité des données, nous la menons contre nos adversaires, ici et partout. Mais nous la menons aussi, et surtout, contre nous-même, contre nos propres pesanteurs et nos supposées impuissances. Industrie, eau, énergie, santé... l'enjeu n'est pas seulement militaire L'enjeu n'est, déjà, plus strictement militaire. Il concerne tous nos intérêts vitaux : l'industrie, l'eau, l'énergie ou encore la santé. N'en déplaise aux tribuns nostalgiques et aux conservateurs qui refusent, par méconnaissance ou par cynisme, le monde tel qu'il
va, la cybersécurité n'est plus une option. Elle constitue une réalité à intégrer dans chacune de nos politiques publiques.Le monde qui vient est déjà là. La question qui doit nous guider est : comment sécuriser la transition numérique dans le seul cadre pertinent qui soit, le cadre européen. En d'autres termes, comment transformer ce que certains ne voient que comme la réponse à une menace, en réelle opportunité pour chacun ?
Florian Bachelier, député LREM de l'Ille-et-Vilaine, premier questeur de l'Assemblée nationale.
DATE-CHARGEMENT: 10 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
371 of 500 DOCUMENTS
RiskAssur
mercredi 11 octobre 2017
almerys rejoint le groupe be-ys
RUBRIQUE: ACCORD
LONGUEUR: 1144 mots
almerys, gestionnaire des prestations de santé au service des assureurs et courtiers, rejoint le groupe be-ys et devient be-almerys.
Expert dans le traitement, le stockage et la sécurisation en masse de données sensibles, be-ys propose une offre universelle pour toute activité économique nécessitant la maîtrise de l'identité numérique, du traitement des flux de données personnelles et confidentielles, au service et en support, de personnes physiques et morales ainsi que des objets connectés.
Créée en 2000, almerys a construit son activité à partir de la gestion de prestations de santé et des services pour les assurances complémentaires. Tiers de confiance, expert du traitement et de la sécurisation des données sensibles, almerys s'est positionnée sur les marchés du traitement industriel des données numériques, y compris à l'international. Elle gère aujourd'hui des flux de données significatifs provenant de plus de 20 000 professionnels de santé, pour un peu plus de 20 Millions de bénéficiaires et un total de 92 millions de transactions temps réel en 2016.
De son côté, le groupe be-ys se positionne comme \xAB un pionnier des transactions digitales maîtrisées et sécurisées, au service de la seule volonté de leurs propriétaires, traités équitablement de bout en bout \xBB explique Laurent Caredda, son Président. Be-ys répond au besoin d'un mandataire numérique universel, capable d'accompagner les personnes, en sécurisant leurs transactions digitales.
Be-ys, qui ambitionne de dépasser le strict cadre de la gestion des prestations de santé -continuera de croître dans le secteur de l'assurance des personnes à partir d'une architecture refondue embarquant notamment les usines applicatives de gestion des services et des prestations, de gestion des factures et des financements.
Le nouveau groupe, qui s'organise autour d'entreprises structurées par offres et savoir-faire, s'appuie sur des partenariats avec le monde académique et des organisations professionnelles internationales pour renforcer son développement à l'étranger et en Europe notamment :
\xB7 be-almerys, pour la gestion des prestations de santé au service des sociétés d'assurance, des groupes de protection sociale, des mutuelles, des courtiers, des bancassureurs, des délégataires de gestion et des assurés.
Be-almerys gère aujourd'hui des flux de données significatifs provenant de plus de 230 000 professionnels de santé, pour un peu plus de 20 Millions de bénéficiaires et un total de 92 millions de transactions temps réel en 2016.
\xB7 be-optilys conçoit des solutions omnicanales et multiservices qui associent digital et accompagnement humain.
Elle a mis en place Optibe, une plateforme modulaire de services de prévention santé personnalisée et de suivi de santé, permettant aux utilisateurs d'être mieux informés, de s'orienter au sein du système de santé, d'améliorer leurs habitudes de vie et d'agir au quotidien pour gagner en autonomie même lors de situations complexes en matière de santé, dans un environnement robuste et sécurisé. La solution partagée par les individus, les salariés et les professionnels de santé permet un suivi personnalisé au travers d'un accompagnement digital, téléphonique voire en présentiel avec le réseau de partenaires santé be-almerys.
L'offre be-optilys s'adresse aux établissements et professionnels de santé, compagnies d'assurance et plus largement à toutes entreprises-employeurs, quel que soit son secteur d'activité, au travers d'une prise en charge personnalisée et ciblée.
Be-optilys est partenaire du Groupement de coopération sanitaire Cardiauvergne et de Novus santé, acteur sur le marché des services santé en Amérique du Nord.
\xB7 be-idys sécurise le patrimoine de données et les processus d'échanges, de partages et d'engagement.
Dédié aux banques, assurances, aux professions réglementées ainsi qu'aux grandes entreprises , be-idys apporte des solutions de transformation digitale afin de réduire les coûts de signature de contrats, d'envois de courriers ou encore d'archivage et de conformité réglementaire (EIDAS, RGPD...etc.).
Le Conseil National des Administrateurs Judiciaires et des Mandataires Judiciaires (CNAJMJ) a choisi be-idys pour la déclaration de ses créances en ligne.
La Caisse d'Epargne et la Mutuelle Générale utilisent les solutions be-idys.
\xB7 be-itys met à disposition - en mode SaaS - une infrastructure hautement sécurisée pour le traitement et l'hébergement des données sensibles à fort volume, et de logiciels applicatifs garantissant un niveau de sécurité élevé.
Le Trust Center permet d'offrir, notamment, les services suivants : gestion de l'identité (token, carte d'accès...), signature électronique et horodatage, cryptographie, archivage, anonymisation et data room.
A Titre d'exemples, SwissLife et Klesia utilisent les solutions be-itys dans la gestion de leurs prestations de santé hors tiers payant et tiers payant.
Allianz et AG2R LA MONDIALE pour leurs services santé, e-santé et prévention.
Harmonie mutuelle et le Conseil National des barreaux pour leurs services de confiance numérique.
En Europe, Deutshe Post DHL pour la signature électronique ou encore BNP Lease dans la dématérialisation de leurs contrats.
\xB7 be-clearys est dédié aux solutions de traitement industriel des documents et des données et à la gestion de la relation client multilingue et multicanal.
Be-clearys permet de gérer les reclamations, le ticketing ou encore des solutions de prospection commerciale, enquête de satisfaction, d'audience et de renomée, des programmes de fidélisation, gestion de cohorts et/ou constitution de réseaux de partenaires.
Quelques références: MACIF, Sciences Po, Le Muséum National d'histoire naturelle, L'Ecole Normale Supérieure (ENS), Météo France.
En Europe: CANON, BNP Lease (...).
\xB7 Enfin, be-studys est l'entreprise du groupe dédiée à la recherche et à l'innovation. Elle encadre les travaux de recherche menés avec les partenaires du groupe, développe une plateforme de recherche et créée une cellule d'intelligence économique (BI et Big Data).
Avec ses équipes de recherche, be-ys participe à de grands projets internationaux dont notamment :
\xB7 Human Brain - Anonymisation des données,
\xB7 Projet Junker H2020, Block Chain Santé pour l'Europe,
\xB7 UIT : Global SME Award pour la sécurisation des échanges de données,
\xB7 Data Science: Big Data et Deep Learning avec l'Ecole Polytechnique Fédérale de Lausanne,
\xB7 Coopération stratégique avec L'Ecole Normale Supérieure (chaire académique sur la sécurité des S.I et cryptographie) ou avec l'Université d'Auvergne (chaire académique sur l'I.o.T santé et sur l'industrie 4.0),
\xB7 Projet Matrice Confiance Numérique, programme d'innovation, de formation et de production lancé avec l'école 42, de l'université Paris Descartes (spécialisée en droit et data science) ainsi que des étudiants en design.
DATE-CHARGEMENT: 11 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Franol Services
tous droits réservés
372 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mardi 10 Octobre 2017
Cornerstone, l'appli cloud de gestion RH qui cartonne en France
AUTEUR: Xavier Biseul
RUBRIQUE: ARTICLES; Entreprises
LONGUEUR: 1206 mots
ENCART: L'outil couvre tout le spectre de la gestion des talents, du recrutement à la rémunération en passant par la formation. Présent en France depuis 10 ans, l'éditeur a su convaincre les grands comptes.
En 2017, Cornerstone OnDemand fête le dixième anniversaire de sa présence en France. L'Hexagone est un peu une seconde patrie pour cet éditeur américain de solutions de gestion RH en mode SaaS. Une partie des membres de son équipe dirigeante européenne est basée à Paris. C'est notamment le cas de Vincent Belliveau, directeur général EMEA de Cornerstone. C'est aussi en France que la société compte le plus grand nombre d'utilisateurs après les Etats-Unis - sachant qu'elle en revendique 32 millions dans le monde. Le groupe californien s'est d'abord attaqué aux grands comptes français, tous secteurs d'activité confondus - La Poste, Orange, Suez ou encore Système U figurent notamment parmi ses références. Cornerstone a ensuite élargi sa cible aux entreprises de taille intermédiaire (Happychic, Unibail, Maisons du Monde...).
La solution Cornerstone est notamment taillée pour piloter la performance des collaborateurs. © JDN / Capture
Comme pour beaucoup de sociétés américaines introduites en bourse (Cornerstone est cotée au Nasdaq), il est toutefois difficile de connaitre précisément le nombre d'employés et le chiffre d'affaires que la firme réalise en France. Selon Geoffroy de Lestrange, responsable marketing produit de l'éditeur pour la zone EMEA, 2016 a été l'année durant laquelle Cornerstone a enregistré le plus grand nombre de nouvelles références en France. "C'est même la troisième année d'affilée que l'augmentation du nombre de clients dépasse les 50% par an. Nous embauchons en France et de nombreux postes sont ouverts", précise l'intéressé.
Une approche modulaire
Cornerstone s'est d'abord fait connaître sur la formation, son domaine historique. Puis, la société de Santa Monica, qui emploie un peu moins de 2 000 personnes à travers le monde, a naturellement évolué vers la gestion de la performance liée aux programmes de formation. Aujourd'hui, l'éditeur couvre tout le spectre de la gestion RH, de la gestion du recrutement au pilotage de la rémunération en passant par le management des carrières. Sa plateforme a été récemment refondue autour de quatre familles de produits : la "Learning suite", la "Performance suite", la "Recruiting suite", et la "HR suite" - qui recouvre l'administration du personnel, la planification des ressources... Une approche modulaire qui permet de choisir sa porte d'entrée (comme le recrutement pour Electrolux en Suède) et de démarrer sur un projet pilote avant de voir plus loin. "Les entreprises ne s'engagent plus dans des projets pharaoniques s'étalant sur plusieurs années et coûtant des millions d'euros", observe Geoffroy de Lestrange.
"La continuité de notre offre est importante car les processus RH se combinent entre eux"
A la différence d'autres éditeurs qui construisent leur offre à coups de rachats, Cornerstone se targue d'avoir développé toutes ses solutions lui-même. "Cette continuité de l'offre est importante car les processus RH se combinent entre eux", poursuit Geoffroy de Lestrange. "Pour gérer un plan de succession avec des promotions internes, vous avez par exemple besoin de déclencher des formations." Une stabilité stratégique que le groupe doit aussi à son équipe dirigeante. Depuis sa création en 1999, Cornerstone est présidé par son fondateur Adam Miller.
Pour autant, la plateforme n'est pas verrouillée. Cornerstone s'ouvre aux applications tierces via une API. "Une entreprise qui a grandi par croissance externe peut se retrouver avec deux SIRH, quinze logiciels de paie. C'est important de pouvoir ainsi unifier l'approche RH et apporter une vision globale du collaborateur sans avoir à casser tout l'existant", analyse Geoffroy de Lestrange.
Un data center en France en 2018
Cornerstone a opté pour un mode de distribution directe tout travaillant avec des partenaires pour le conseil et l'accompagnement des clients. Parmi ses partenaires figurent Accenture, Deloitte, EY, BearingPoint, IBM, Magellan Consulting, Neospheres, Takoma ou encore Talentys - mais aussi Cegos qui alimente sa plateforme en contenus de formation.
Geoffroy de Lestrange est responsable marketing produit EMEA. © Cornerstone
Pour localiser les données au plus près de ses entreprises clientes, Cornerstone prévoit de mettre en production deux data centers en Europe au premier trimestre 2018, un en région parisienne, l'autre à Francfort en Allemagne. Un investissement de 5 millions d'euros. "Les deux sites proposeront dès le démarrage l'intégralité de l'offre", précise Geoffroy de Lestrange. "Nous verrons quels clients souhaiteront basculer ou non dessus."
Les deux data centers seront ouverts avant l'entrée en vigueur du nouveau règlement européen sur la protection des données personnelles (RGPD) le 25 mai 2018. Un enjeu d'importance pour les DRH tant ils sont amenés à gérer des informations sensibles - de la base de CV aux comptes-rendus des entretiens d'évaluation. Basé à Paris, le Data protection officer (DPO) de Cornerstone, José Rodriguez, accompagne d'ailleurs les clients de l'éditeur sur la voie de la conformité au RGPD.
Des suggestions à la façon de Netflix
A raison de quatre mises à jour par an, la plateforme Cornerstone se développe actuellement sur le volet analytics et prédictif. Grâce au rachat d'Evolv fin 2014, l'éditeur s'est enrichi d'une équipe de data scientists. Depuis, il a sorti quatre modules dédiés à l'analytics RH. En donnant une vision d'ensemble des profils des collaborateurs, Cornerstone View permet, par exemple, de créer une équipe projet sur la base des compétences disponibles dans l'entreprise. Cornerstone Engage mesure, lui, les facteurs d'engagement des salariés tels que l'adhésion à la culture de l'organisation ou la qualité des relations avec les managers via des enquêtes ponctuelles ou annuelles. Cornerstone Benchmark compare les données RH entre départements ou filiales (niveau de mixité/diversité, taux de participation aux formations, etc.). Enfin, Cornerstone Insights analyse les données RH pour aider les décideurs à recruter, gérer et fidéliser les meilleurs profils via des recommandations personnalisées. "Le marché français bénéficie d'une bonne maturité sur le sujet de l'analytics et du prédictif", note Geoffroy de Lestrange. "Ce n'est pas le cas dans d'autres pays. En Allemagne, il y a une résistance à changer les SIRH vieillissants."
Cornerstone s'inspire aussi des usages grand public. Dans la dernière mise à jour de sa plateforme, celle d'août, l'éditeur a introduit un moteur de suggestions de formations. Un dispositif de recommandations qui rejoint les logiques déjà adoptées par Netflix, Spotify ou Amazon dans leur domaine respectif. Objectif de Cornerstone : donner ainsi envie au collaborateur de développer ses compétences par lui-même. Dans ses deux prochaines mises à jour, le fournisseur entend porter ses efforts sur la curation de contenus. "Un chef de projet pourra, par exemple, constituer une playlist de vidéos, de modules de formation qu'il partagera à son équipe", précise-t-on chez Cornerstone.
A lire aussi : Comparatif : quatre SIRH en mode SaaS
Le SaaS est en train de s'imposer dans la gestion des ressources humaines. Les très nombreux éditeurs présents sur les différentes briques du SIRH sont en train de se consolider... et des leaders apparaissent.
DATE-CHARGEMENT: 10 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
373 of 500 DOCUMENTS
La Tribune.fr
Mardi 10 Octobre 2017 5:09 PM CET
La cybersécurité au c ur de la relance du projet européen (Florian Bachelier, LREM)
AUTEUR: Florian Bachelier
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 857 mots
ENCART: 99% des incidents de cybersécurité qui surviennent sont transfrontaliers. Ils échappent par définition aux logiques nationales. Par Florian Bachelier Député de l'Ille-et-Vilaine, Premier Questeur de l'Assemblée Nationale.
C'est un tournant historique dans l'histoire de l'Union Européenne. Le Président de la République, Emmanuel Macron, était à Tallin jeudi 28 et vendredi 29 septembre pour le premier Sommet digital de l'UE, qui a placé le numérique au c ur de la relance du projet européen. Avec un pilier central : la souveraineté numérique. Un enjeu qui passe par une politique offensive et efficace en matière de cybersécurité.
Deux semaines plus tôt, c'est le président de la Commission européenne, Jean-Claude Juncker, qui avait annoncé un grand plan de refonte de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA), avec une évolution de son mandat d'ici à 2020, dans le but - précisément - d'en faire l'Agence de cybersécurité de l'UE.
Cet effort inédit d'organisation s'est doublé d'un effort législatif et règlementaire de grande ampleur. La directive sur la sécurité des réseaux et des systèmes d'information (Network and Information Security, NIS) ainsi que le Règlement Général sur
la
Protection des Données (RGPD), qui entrent en vigueur en mai 2018, forment les piliers d'une politique ambitieuse de cybersécurité à l'échelon européen. 3 millions d'emplois non pourvus Dans un même mouvement, l'Europe harmonise les cadres, les définitions et les procédures, en contraignant les États à renforcer leurs capacités nationales. Une harmonisation plus que nécessaire, puisque 99 % des incidents de cybersécurité qui surviennent sont transfrontaliers. Ils échappent par définition aux logiques nationales. Ces efforts ne sont qu'à leurs débuts. D'ici 2021, on estime que 3 millions d'emplois en cybersécurité ne seront pas pourvus en Europe, faute de candidats qualifiés. Cette faille béante dans notre sécurité collective représente aussi un formidable gâchis pour un continent marqué, notamment en France, par trois décennies de chômage de masse. En réalité, la cybersécurité gagnerait à être appréhendée pour ce
qu'elle est : un
puissant relai de croissance, d'emploi et de compétitivité, c'est-à-dire une véritable opportunité économique. Les trois priorités du nouveau paysage numérique européen Dans ce nouveau paysage numérique européen qui se dessine, trois priorités se dégagent. Le premier défi est celui de la souveraineté numérique. Nous devons, ensuite, renforcer la sécurité économique de nos entreprises. Et il s'agit, enfin, de nous autoriser à expérimenter, à réinventer nos services publics. Pour réussir cette transition numérique, nous pouvons nous appuyer sur l'exemple estonien et renforcer le co-développement des technologies, comme nous le faisons déjà au sein de l'OTAN. Mais nous ne devons pas nous limiter à l'Alliance Atlantique. L'Europe doit prendre en main les outils de sa cyberdéfense Le Président de la République, Emmanuel Macron, a rappelé dans son discours de la Sorbonne l'impératif de constituer une « capacité autonome de l'Europe, en complément de l'OTAN », y compris en matière de cybersécurité. L'Europe doit donc prendre en main les outils de sa cyberdéfense, et de l'innovation de rupture, pour être le berceau des technologies de demain. Ou comme l'a résumé l'amiral Lacoste :
« Pour contrer et contrôler, il faut savoir et comprendre. » Développer la "cyberhygiène" Pour gagner cette bataille, nous avons besoin de la mobilisation de tous et de toutes.
Pour que nos concitoyens conservent une vraie confiance dans le numérique,
nous devons procéder à une sensibilisation massive au risque cyber et développer ce que l'on appelle la « cyberhygiène », pour réduire au maximum les facteurs de risque. Il s'agit, en outre, d'accompagner les nouveaux usages, d'offrir un droit à l'expérimentation, à l'erreur. En bref, un droit à l'innovation.La souveraineté numérique est un enjeu considérable pour la France du 21e siècle. Durant ce siècle, se succèderont quatre générations de Français. Et comme le rappelait le Président de la République à la Sorbonne :
« Nous devons gagner leur gratitude, autrement, nous ne mériterons que leur mépris. » Cette bataille pour la cybersécurité, et plus particulièrement pour la maîtrise et la sécurité des données, nous la menons contre nos adversaires, ici et partout. Mais nous la menons aussi, et surtout, contre nous-même, contre nos propres pesanteurs et nos supposées impuissances. Industrie, eau, énergie, santé... l'enjeu n'est pas seulement militaire L'enjeu n'est, déjà, plus strictement militaire. Il concerne tous nos intérêts vitaux : l'industrie, l'eau, l'énergie ou encore la santé. N'en déplaise aux tribuns nostalgiques et aux conservateurs qui refusent, par méconnaissance ou par cynisme, le monde tel qu'il
va, la cybersécurité n'est plus une option. Elle constitue une réalité à intégrer dans chacune de nos politiques publiques.Le monde qui vient est déjà là. La question qui doit nous guider est : comment sécuriser la transition numérique dans le seul cadre pertinent qui soit, le cadre européen. En d'autres termes, comment transformer ce que certains ne voient que comme la réponse à une menace, en réelle opportunité pour chacun ?
Florian Bachelier, député LREM de l'Ille-et-Vilaine, premier questeur de l'Assemblée nationale.
DATE-CHARGEMENT: 10 Octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
374 of 500 DOCUMENTS
Economie Matin
7 octobre 2017 04:00 AM GMT
RGPD : la protection des données, mais à quel prix ?
LONGUEUR: 970 mots
Sur les lèvres de tous les marketeurs depuis maintenant plusieurs mois, le RGPD - Règlement Général sur la Protection des Données - entrera officiellement en vigueur le 25 mai 2018. Bien plus qu'un simple hashtag à la mode, ce règlement va impacter les services marketing de l'ensemble des entreprises en Europe, qui vont devoir faire face à de nouveaux défis de taille. Agrave; la lecture du règlement, qui tend à homogénéiser autour d'un même texte les pratiques de collecte et de traitement des données des consommateurs au sein de l'Union Européenne, un premier constat s'impose : les changements à prévoir au sein des services marketing concernés ne seront pas révolutionnaires. Il s'agit davantage d'une version plus intégrée, mieux approfondie, de principes et préceptes existants. Avec néanmoins une nouvelle arme fatale : des sanctions sévères en cas d'infraction et une amende maximale portée à 20 millions d'euros ou 4% du CA mondial annuel, le montant le plus important étant retenu.
Si l'on transpose l'amende infligée par la CNIL à Facebook, celle-ci passerait de 15 000 euros à 1 milliard : plus du tout la même histoire ! Le consentement, pour mieux collecter Bien que le principe de consentement du consommateur soit un prérequis évident pour certains, le nouveau règlement exige que les modalités autour de son obtention soient renforcées et clarifiées. Les entreprises ont, comme auparavant, l'obligation de demander au consommateur l'autorisation de collecter et d'utiliser ses données personnelles afin que leur traitement soit validé. Toutefois, pour obtenir cette autorisation, elles ne peuvent désormais plus pré-cocher les cases prévues à cet effet. De même, elles doivent noter que les autorisations obtenues ne sont plus irrévocables : le consommateur peut demander la suppression de ses données quand il le souhaite et où qu'elles aient été transmises. Il bénéficie également d'un droit d'opposition à l'utilisation de ses données à des fins de marketing direct, et d'un droit d'opposition au profilage selon les informations qu'elles contiennent. Afin d'encadrer le traitement de ces données, les entreprises devront, par ailleurs, intégrer à leur effectif un Data Protection Officer (DPO) qui sera le garant de sa conformité. La transparence, pour mieux fidéliser Si le consommateur décide d'accepter que ses données personnelles soient collectées et utilisées, encore faut-il qu'il sache à quelle fin ! Aussi les organisations devront-elles expliquer clairement et simplement - le règlement met particulièrement l'accent sur ce point - aux institutions comme aux consommateurs l'utilisation qui sera faite des données. Ce précepte va de paire avec la notion de privacy by design : les marketeurs doivent, dès lors qu'ils établissent une campagne de marketing ou les bases d'un traitement, penser à mettre en oeuvre l'ensemble des principes du règlement, mais aussi fournir de la documentation prouvant que ces principes ont bien été pris en compte à chaque étape du projet par chacune des parties concernées. La sécurité, pour mieux protéger Les sous-traitants voient leur responsabilité s'accroître, afin que les normes soient respectées et que la sécurité des données soit assurée. Tous ont l'obligation de communiquer aux consommateurs les failles et le vol éventuel de leurs données. De même, le RGPD interdit la transmission des données personnelles des citoyens européens hors Union européenne vers les pays où la protection des données est jugée insuffisante par la Commission européenne. Par exemple, les entreprises européennes ne peuvent pas impunément utiliser les services de sociétés américaines. Charge aux marketeurs de s'équiper des outils développés pour leur permettre d'apporter un niveau de protection suffisant : règles internes d'entreprise (BCR), Clauses Contractuelles Types et adhésion aux principes du " Privacy Shield ". Aujourd'hui seul garant d'un respect des données européennes outre-Atlantique, le Privacy Shield est néanmoins fortement contesté et pourrait, à l'instar de son prédécesseur le Safe Harbor, être finalement abandonné. Dans ce cas, les prestataires " Privacy Shield Compliants " risquent de mettre leurs clients européens dans une position inconfortable face à la CNIL. Si le Privacy Shield est maintenu, les audits de sous-traitants américains requis par le RGPD seront difficilement réalisables, et particulièrement couteux. Le ciblage, pour mieux toucher Agrave; l'instar des services bancaires et de téléphonie mobile, les entreprises doivent désormais permettre la portabilité et la récupération des données et les transmettre en cas de demande aux instances souhaitées. Mais surtout, le RGPD fait la part belle à l'ennemi antinomique du big data, la data minimization, qui préfère la qualité à la quantité. Plutôt que de collecter le maximum d'informations, afin d'en extraire ensuite une donnée potentiellement intéressante, il s'agit de ne collecter que les informations les plus pertinentes : la data n'est plus big, elle est smart. En filigrane de ce nouveau règlement, un appel au retour aux sources. Le terme data vient du latin dare : " donner en main propre ". Les consommateurs et les clients, en acceptant de donner " en main propre " leurs données personnelles à une entreprise, expriment la confiance qu'ils lui accordent. Il est donc essentiel, pour ne pas rompre ce lien de confiance, que les consommateurs sachent que l'entreprise fait le nécessaire pour protéger ces données, et qu'elle collabore avec des sous-traitants à même d'en assurer la sécurité. Entre simple formalisation de pratiques courantes et réel bouleversement des habitudes, la data privacy lsquo;version 2018' imposée aux marketeurs n'aura qu'un seul but : protéger les citoyens européens et respecter - enfin - leurs souhaits.
DATE-CHARGEMENT: 11 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
375 of 500 DOCUMENTS
L'AGEFI Actifs
octobre 6 2017
Vives tensions sur le partage des données;
DSP2 / RGPD
AUTEUR: Bertille Gille
RUBRIQUE: CADRE LÉGAL; Pg.22
LONGUEUR: 2144 words
Faciliter la libre-circulation des données informatiques et doper l'innovation, tel est l'objectif de la directive européenne révisée sur les moyens de paiement "DSP2" (1), dont l'entrée en vigueur est prévue le 18 janvier 2018. Ces sujets sont loin d'être neutres pour l'activité des conseillers en gestion de patrimoine. Grace à ce nouveau texte, la Commission européenne autorise les sociétés financières et technologiques (fintech) à récupérer en toute régularité les informations clients stockées par les banques. Parallèlement, le Parlement européen a adopté en avril 2016, le règlement général des données personnelles (RGPD), applicable dès le 25 mai 2018 (2). De portée générale, ce texte a vocation à sécuriser les informations sensibles échangées entre les différents acteurs européens, dont ceux concernés par la DSP2. D'ici la fin de l'année, établissements financiers et fintech vont devoir s'adapter à ce nouvel environnement réglementaire et trouver un terrain d'entente sur l'application de ces textes.DSP1, un cadre dépassé. Les volumes croissants de paiements électroniques et l'émergence de nouveaux acteurs et produits financiers ont rendu le cadre de la DSP1 obsolète. Les derniers entrants sur le marché intérieur - tels que les acteurs proposant des services d'agrégation et d'initiation de paiement - échappaient de fait à la réglementation de la Commission européenne.
Depuis leur apparition il y a une dizaine d'année, ces opérateurs officiaient dans un certain flou.
Régularisation de l'activité des fintech. Entre autres dispositions, la DSP2 donne un cadre réglementaire à deux types d'acteurs : les services d'information sur les comptes (PSIC), autrement dit les agrégateurs, et les services d'initiation de paiements (DSIP), dont le rôle est de présenter au nom de l'utilisateur un ordre de paiement à exécuter par la banque gestionnaire du compte. Joan Burkovic, co-fondateur de l'agrégateur Bankin' attendait ce texte "qui a le mérite d'officialiser notre activité. A partir de 2018, nous obtiendrons un statut régulé d'établissement de paiement qui nous donnera toute légitimité pour intervenir sur le marché des services de paiement ". Ces nouveaux prestataires seront dès le 18 janvier 2018 placés sous la tutelle de l'Autorité de contrôle prudentiel et de résolution (ACPR) et de la Banque de France. De ce fait, ils devront respecter un ensemble spécifique de règles prudentielles pour pouvoir obtenir leur enregistrement auprès des autorités.Méthode du web-scraping. Or pour exercer, ces opérateurs ont besoin d'accéder aux données personnelles de leurs utilisateurs. En l'état actuel, les données sont récupérées - avec l'accord du client - grâce à la méthode du "web-scraping", selon laquelle les agrégateurs accèdent aux comptes bancaires de l'usager avec ses codes d'accès et se font passer pour lui auprès de la banque. Une technique risquée pour l'usager "puisqu'en cas de fraude, la banque se décharge de toute responsabilité envers le client qui a communiqué volontairement ses identifiants de connexion" avertit Pierre Guérin, managing consultant, Investance Partners.Ouverture des banques de données. A compter du début d'année prochaine, les banques auront l'obligation d'ouvrir leurs bases données aux tiers agréés, sans restriction aucune. L'enjeu est crucial pour les banques qui souhaitent conserver la main sur ces informations qui représentent une source de revenus considérable. Pour assurer la sécurité de ces échanges, DSP2 imposera aux banques la création d'interfaces interopérables - plus connues sous le nom d'API. D'un point de vue technique "il s'agit un protocole de communication entre deux serveurs permettant la récupération des données confidentielles détenues par les banques. En tant que fintech nous sommes très favorables à cette connexion, mais nous savons d'avance que les banques n'ont aucun intérêt à mettre en place des interfaces de qualité" regrette Joan Burkovic. Dans cette hypothèse, les agrégateurs souhaitent aussi conserver le web-scraping comme alternative aux API.Résistance des fintech. Le maintien du web-scraping est d'autant plus crucial que la directive encadre uniquement les comptes de paiement, dont les données devront à présent transiter par une API avant d'être agrégées. De ce fait, les agrégateurs craignent que les banques ne fournissent via leurs interfaces de connexion que les informations propres aux comptes de particuliers et qu'elles retiennent les données relatives aux comptes d'épargne et de crédit. Une situation cataclysmique pour les Fintech, pour qui les données d'épargne représentent près de 80 % des informations agrégées. Joan Burkovic annonce que "si le scenario devait se réaliser, [il continuerait] à utiliser le web-scraping pour récupérer les données d'épargne confisquées par les banques". Sollicitée sur ce point par un collectif de fintech européennes, la Commission a confirmé que les comptes non régulés par la directive resteraient ouverts au web-scraping, à défaut d'être intégrés dans les API.Le web-scraping sur la sellette. Il n'en fallait pas moins pour provoquer l'ire des banquiers européens. Frédéric Oudéa, président, de la Fédération bancaire européenne (FBE) a adressé le 31 juillet un courrier au président de la Banque Centrale Européenne (BCE) et au Commissaire européen en charge des affaires financières pour exiger l'interdiction totale du web-scraping et le report de la DSP2. D'après le patron du lobby européen, cette méthode menace la cybersécurité et la confidentialité des données manipulées ; insistant au passage sur les sérieuses failles sécuritaires des systèmes tiers. Un paradoxe quand on considère que les banques sont les premières utilisatrices de web-scraping pour aller chercher la donnée chez leurs concurrents. Une position largement soutenue par l'Autorité bancaire européenne (ABE), d'ailleurs habilitée par la Commission pour élaborer les projets de normes techniques - autrement dit les conditions de mises en oeuvre - de la DSP2.Blocage institutionnel. Inutile de préciser que la dernière version des standards techniques et règlementaires (RTS), présentée par l'ABE le 23 février dernier, plaide en faveur des banques et de la suppression du web-scraping. Bien que la Commission - favorable aux fintech - ait demandé au lobby européen d'infléchir sa position, celui-ci tient bon et emporte avec lui les suffrages de nombreux Etats-membres. Le texte des RTS, qui devait être soumis au vote du Parlement à l'automne 2018, est bloqué. Ce qui laisse craindre une période de vide juridique, puisqu'à compter de l'adoption des normes d'application les banques auront 18 mois pour se mettre en conformité avec les API, alors même que la directive sera applicable dès janvier 2018. D'où la proposition de Frédéric Oudéa de repousser l'application de la DSP2 d'un an et demi pour qu'elle coïncide avec l'entrée en vigueur des nouveaux standards. De son côté, la France a déjà publié le 9 août dernier, l'ordonnance de transposition de la DSP2 (3). Pour assurer la continuité de la directive, le Parlement européen a adopté le 27 avril 2016, un règlement européen qui renforce le contrôle des citoyens de l'Union sur leurs données personnelles et uniformise les législations nationales en la matière.Restituer la maîtrise des données à leurs titulaires. La première révolution de ce RGPD est de réaffirmer que n'importe quelle société au monde qui opérera un traitement de données portant sur un ressortissant de l'Union devra respecter la réglementation européenne sur la protection des données. "C'est une vraie révolution car jusqu'alors les GAFA se lavaient les mains de la législation communautaire" se réjouit Stéphane Astier, avocat, HAAS & Associés. Autre point, aucun traitement de données ne peut être réalisé sans l'accord préalable du titulaire. La Commission exclut noir sur blanc tout consentement tacite et impose un consentement express résultant d'un acte positif. Quant au transfert de données en dehors de l'Union, celui-ci est autorisé à titre exceptionnel et sous conditions.Champ d'application. Ce règlement concerne l'ensemble des traitements de données personnelles portant sur des ressortissants européens ou réalisés par des opérateurs établis dans l'Union. Transposé dans le domaine du patrimoine, cela signifie que "les CGP sont directement concernés s'ils collectent sur leurs clients ou prospects des données personnelles. Quant à ceux qui utilisent des agrégateurs, la Commission nationale informatique et liberté (CNIL) a, dès 2011, alerté sur les dangers sécuritaires que présentent ces fintech. Utiliser de tels services impose aux CGP de garantir la sécurité des données personnelles" préviennent Bernard Rineau, avocat, et Julien Marcel, juriste, cabinet Rineau & Associés.Mise en conformité. Pour être en conformité avec le RGPD, les entreprises vont devoir instituer de nouvelles procédures internes pour atteindre les standards de sécurité fixés par le texte. Selon ces nouvelles normes, les entités doivent établir un fichier répertoriant l'intégralité des traitements réalisés et en assurer la mise à jour régulière - une obligation valable pour les entreprises et pour leurs sous-traitant. " Indubitablement ces mesures vont nécessiter une coopération transverse. Ce sont quasiment toutes les directions des entreprises qui vont devoir s'impliquer" relève Alexandre Péron, Legal counsel, Banque Française Mutualiste.Analyse d'impact. A l'ère du RGPD, l'analyse d'impact devient obligatoire lors de la conception du traitement. Autrement dit l'entreprise doit cartographier, dès la phase de développement, les risques potentiels pour la protection des données. Si pendant la mise en oeuvre du traitement, le risque de perte ou de fuite des données se réalise, le responsable des traitements doit impérativement remonter l'information aux autorités dans les 72 heures de l'apparition de l'incident. A noter, que le règlement généralise cette obligation à tous les acteurs manipulant des données sensibles. Elle était auparavant imposée aux seuls opérateurs en télécommunications.Désignation d'un DPD. Les entreprises pourront compter sur le contrôle du délégué à la protection des données (DPD), nouvellement institué par le RGPD. Stéphane Astier compare ce statut à celui du "commissaire aux comptes de la donnée", un superviseur qui contrôle en toute indépendance la conformité juridique des traitements et qui en cas de défaillance engagera sa responsabilité pénale. D'expérience, l'avocat estime "qu'il est préférable d'externaliser la fonction de DPD. Le règlement exigeant un acteur indépendant, le DPD n'est pas facile à trouver dans l'organigramme interne. De plus, un expert extérieur apporte avec lui sa responsabilité civile professionnelle - qui est une forme de réassurance - et dispose de l'autorité nécessaire pour imposer aux directions le respect de la réglementation".Co-responsabilité des sous-traitants. Le RGPD introduit un partage de responsabilité entre le commanditaire et son sous-traitant sur le traitement d'une même information. Le contrat de sous-traitance "devra définir de manière transparente les obligations respectives des parties en matière de protection des données, ce qui suppose une formalisation précise du contrat", prévient Stéphane Astier. Une mesure qui doit inciter les entreprises à être vigilantes sur le choix de leurs sous-traitants et à s'assurer que ces derniers présentent des garanties suffisantes pour traiter de données sensibles" souligne Alexandre Péron. Une précaution d'autant plus importante que le RGPD donne davantage de latitude aux autorités pour sanctionner les contrevenants. La CNIL peut désormais prononcer des sanctions pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.Anticipation. Bernard Rineau constate que "les dirigeants d'entreprises n'ont pas pris la mesure des obligations que fait peser sur eux le RGPD. La plupart d'entre eux ne seront pas en conformité d'ici le 25 mai 2018 ". L'avocat ajoute que " les retardataires ne pourront compter sur aucune mansuétude de la CNIL, comme en témoignent les déclarations de sa présidente ». Sans compter que la fabrique réglementaire tourne à plein régime. Courant septembre, la Commission européenne a adopté plusieurs propositions pour compléter le RGPD. Des propositions reprises, le 29 septembre dernier lors du Sommet numérique tenu à Tallinn, pour lancer les discussions autour de la création "d'un marché unique des données". De manière plus immédiate, un second "Règlement sur la vie privée et les communications électroniques", publié le 17 janvier 2017, entrera également en vigueur le 25 mai prochain.(1) Directive n°2015/2366 du Parlement européen et du Conseil du 25 novembre 2015
(2) Règlement n°2016/679 Parlement européen et Conseil du 27 avril 2016
(3) Ordonnance n°2017-1252 du 9 août 2017
DATE-CHARGEMENT: 31 janvier 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 L'AGEFI
Tous droits réservés
376 of 500 DOCUMENTS
La Semaine Juridique - Entreprise et affaires
05 octobre 2017
La compliance a-t-elle une valeur ?
AUTEUR: Étude rédigée par Luc-Marie Augagneur, avocat associé, Fiducial Legal by Lamy
RUBRIQUE: ETUDE; COMPLIANCE N° 40-1522
LONGUEUR: 6709 mots
RESUME:
Un nombre croissant de textes instaurent des obligations de compliance (loi Sapin 2, RGPD, etc.) en même temps que les entreprises s'emploient à structurer leur politique de conformité et/ou de RSE sous forme de programmes de compliance. Si ce phénomène juridique appelle généralement la circonspection du juriste continental qui regrette l'incertitude de la soft law, il peut aussi inviter à une curiosité féconde. Il laisse en effet apparaître une nouvelle façon de faire du droit : en décentralisant l'élaboration de la règle, il accomplit une forme d'identité normative qui réconcilie droit et éthique.
TEXTE:
Le droit n'aime pas les modes. Elles changent trop souvent et ont la réputation de n'être pas sérieuses. Et quand elles viennent des pays anglo-saxons, elles sont encore plus suspectes. La compliance paraît être de celles-là. Elle consiste dans la mise en place, la documentation et la justification régulière de la conformité aux normes dans différents domaines du droit, en particulier ceux qui sont soumis à une régulation spécifique ou à une surveillance de risques (fraude et corruption, sécurité physique ou informationnelle, questions éthiques, etc.). Plusieurs exemples récents et essentiels pour les entreprises témoignent de l'importance croissante et pratique des mécanismes de conformité. C'est le cas en particulier de la loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique, dite Sapin 2, du 9 décembre 20161 et du règlement général sur les données personnelles (ci-après le règlement)2 qui entrera en vigueur en mai 2018.
Les procédures de conformité en matière d'activités économiques. - Parallèlement à la définition d'un statut de lanceur d'alerte pour tout crime, délit ou menace grave pour l'intérêt public, la loi Sapin 2 prévoit que les entreprises de plus de 50 salariés devront élaborer les « procédures appropriées de recueil de signalements »3 émis par les salariés ou des collaborateurs extérieurs ou occasionnels.
Ce mécanisme correspond très précisément et délibérément au principe de la compliance en ce qu'il délègue aux entreprises et organismes concernés un devoir de vigilance sur la délinquance professionnelle et un rôle normatif dans le dispositif de détection des infractions. La logique auto-normative est à ce point prégnante qu'elle confie un rôle de filtre pré-juridictionnel à l'entreprise. L'article 8 prescrit ainsi de définir une personne référente chargée de la réception des signalements (et à défaut le supérieur hiérarchique) et de l'examen de « la recevabilité du signalement ». La nature de la délégation est telle que la sémantique du texte invite, « en dernier ressort », et après inaction successive de l'entreprise ou des autorités, à la divulgation publique du signalement.
Le récipiendaire du signalement se trouve ainsi placé dans une situation d'appréciation juridique extrêmement délicate de la situation. À transmettre trop promptement un signalement abusif, il porterait atteinte aux intérêts de personnes visées et à ceux de son entreprise. À retenir une information qui serait fondée, il encourrait une peine maximale d'un an d'emprisonnement et de 15 000 d'amende pour avoir « fait obstacle, de quelque façon que ce soit, à la transmission d'un signalement »4.
La mise en place par l'entreprise de sa propre procédure de conformité est encore plus exigeante en matière de corruption et de trafic d'influence. Les sociétés de plus de 500 salariés et réalisant plus de 100 millions d'euros de chiffre d'affaires devront se doter, en outre, d'un code de conduite interne, d'une cartographie des risques, de procédures d'évaluation et de contrôle comptable, ainsi que, notamment, d'un dispositif de formation5.
La mise en place d'un programme de conformité est même instituée en peine au nouvel article 131-39-2 du Code pénal6. C'est dire que la décentralisation normative est érigée en compétence obligatoire.
C'est en particulier ce que l'on connaît en matière de concurrence. Les entreprises sont ainsi amenées à concevoir des programmes de conformité visant à établir les bonnes pratiques internes destinées à garantir l'absence de commission de pratiques anticoncurrentielles (ententes et abus de position dominante). En diffusant une culture de la concurrence adaptée au mode de fonctionnement de l'organisation et à ses risques propres, l'entreprise devient un relais de la répression ou de la régulation. Que ce soit à titre préventif ou à la suite d'une sanction infligée par les autorités pour prévenir une réitération des pratiques en cause, ces engagements sont l'expression caractéristique de la compliance.
Dans le même registre, il existe de nombreuses autres dispositions qui relèvent plus ou moins directement de ces mécanismes. En matière de banque, d'assurance ou de transactions financières, différentes réglementations obligent à mettre en oeuvre des dispositifs de prévention de la fraude7. Mais c'est dernièrement surtout dans le domaine numérique que la compliance est la plus remarquable.
L'autorégulation en matière numérique. - On ne pourra d'abord manquer d'observer que la loi pour une République numérique du 7 octobre 20168 a elle aussi utilisé le principe de règles internes. Le nouvel article L. 111-7-1 du Code de la consommation prévoit que « les opérateurs de plateformes en ligne dont l'activité dépasse un seuil de nombre de connexions défini par décret élaborent et diffusent aux consommateurs des bonnes pratiques visant à renforcer les obligations de clarté, de transparence et de loyauté » prévues pour toutes les plateformes (moteurs de recherche, réseaux sociaux, marketplaces, comparateurs, sites de mise en relation ou de partage de contenu, etc.). L'article L. 111-7 prescrit en effet notamment de faire connaître les modalités de référencement/classement par les plateformes et de révéler les liens d'intérêt et l'impact sur le classement. Les plateformes essentielles devront ainsi élaborer des chartes qui appliquent ces principes dans les conditions spécifiques au risque de manipulation des classements que l'on peut suspecter9. On trouve ici l'expression nette d'un caractère de la compliance : celui de préciser ou d'« instancier »10 une règle générale.
C'est le même changement de paradigme qu'emprunte le règlement européen 2016/679 du 27 avril 2016 sur les données personnelles11. Alors que jusqu'ici la protection des droits informatiques reposait sur un mécanisme de déclaration des traitements réalisés à l'autorité de contrôle, les entreprises devront désormais tenir un registre et définir les modalités d'utilisation de leurs fichiers en fonction des risques qu'elles représentent. « L'"accountabilité" marque la rupture majeure avec l'ancien cadre légal [...] [elle] implique que l'entreprise soit désormais le premier garant de la protection des données qu'elle traite. Elle devra donc autoévaluer les risques et enjeux de la mise en oeuvre d'un traitement de données à caractère personnel »12.
Sans entrer dans un détail excessif du texte, l'article 6 du règlement établit un principe de proportionnalité entre l'étendue des traitements autorisés et la nature, la portée, la finalité du traitement et la sensibilité des données concernées. Mais il appartient au responsable du traitement de retenir les opérations qu'il estime légitimes en tenant compte des différentes exigences. Par la définition interne des traitements, le responsable élabore, sous le contrôle d'un délégué à la protection des données, les normes de traitement en vigueur dans l'organisme. C'est donc une application pratique très notable de la conformité qui va se généraliser lors de l'entrée en vigueur du texte.
Extension du domaine de la compliance. - Cette conception de la compliance conduit à faire évoluer la conception réductrice que l'on a pu en avoir lorsque l'on se bornait à y ranger seulement les chartes et engagements éthiques des entreprises dans le cadre de leur politique de responsabilité sociale et environnementale. Mais il ne faut pas non plus exclure ces formes du champ de la compliance sans que l'on puisse d'ailleurs, à défaut de définition ou de corpus homogène, en identifier de périmètre suffisamment clair.
De cet ensemble hétéroclite que constitue le vaste champ de la compliance, le juriste (continental) est tenté d'en rechercher les traits communs pour en dégager, sinon un droit de la compliance, en tout cas une matrice commune. Mais, la compliance n'est manifestement pas une branche du droit, elle apparaît plutôt comme « une façon de faire du droit » ou d'appliquer le droit dans un objectif de gestion des risques.
Dans ces conditions, la question centrale consiste à s'interroger sur les traits communs, les mécanismes et les moyens pour élaborer un programme de compliance efficace13. Mais l'efficacité dépend évidemment du point de vue qui la juge. Pour les autorités, elle se mesure notamment à la satisfaction d'objectifs de préservation de l'ordre public. D'un point de vue économique, elle s'entend de la meilleure contribution au bien-être qui renvoie aux objectifs du mouvement de l'analyse économique du droit (law and economics). Du point de vue des entreprises, elle correspond à la meilleure préservation contre les risques et à l'exposition aux sanctions.
En recherchant à la fois les caractéristiques communes de la compliance et l'efficacité que celle-ci procure à l'entreprise, il ressort en définitive une interrogation sur sa valeur. Car évoquer la valeur n'est, à dessein, pas dépourvue d'ambiguïté tant le terme est polysémique. On peut d'abord la comprendre comme la valeur juridique de la norme produite dans un contexte de compliance (1). On peut ensuite chercher à déceler la valeur morale qui paraît sourdre dans les différents domaines d'élection de la compliance (la loyauté, la probité, l'éthique, etc.). On ne peut s'empêcher enfin de se demander si la compliance produit de la valeur au sens de son utilité sociale et dans l'entreprise (2).
La valeur juridique de la compliance
L'observation la plus perturbante pour les juristes consiste à se demander si la compliance relève réellement du droit. À cet égard, on conçoit traditionnellement que le droit s'entend des normes juridiquement obligatoires, abstraites et générales. De ce point de vue, les logiques de compliance remettent en cause le caractère obligatoire de la règle en renouvelant la distinction entre droit et non-droit (A). Mais elles disruptentégalement les caractères d'abstraction et de généralité en répondant à la nécessité d'une mise en oeuvre de la régulation, en lieu et place de la réglementation (B).
Entre sur-droit et non-droit
Les auteurs n'ont pas manqué de souligner la curiosité juridique des principes de la compliance. Ils y décèlent de prime abord tantôt une forme de « tautologie du droit », tantôt des objets de droit si souples (soft law) qu'ils en deviennent « a-juridiques »14. Tautologie en effet que de s'engager à respecter la loi. Au contraire, négation du droit qu'une affirmation morale et non contraignante à agir en prenant en compte son environnement physique, économique et social.
Dans les deux cas, le mécanisme mis en oeuvre y apparaît comme une défaite du droit, soit qu'il soit redondant, soit qu'il soit dépourvu de sanction. D'ailleurs, l'étymologie du terme « compliance » signe son antinomie au droit. « To comply », pour anglais que soit le verbe, tire son origine du vieux français « complir » (complaire, se conformer), que l'on doit lui-même au latin cum-placere, c'est-à-dire littéralement plaire ensemble. La compliance c'est certes se soumettre à la règle, mais c'est pour lui plaire, l'amadouer ; en un mot une logique affective de droit accepté plus que de la force juste.
En réalité, les dispositifs de compliance ne permettent pas de dégager de valeur juridique uniforme. Au contraire, l'originalité de leur production normative se traduit par des degrés variables d'impérativité qui dépendent de différents facteurs : notamment l'existence d'une règle générale dont ils procèdent de l'application, la précision de leur énoncé, la portée directe ou indirecte que se donne le programme de conformité, etc.
Une charte de responsabilité sociale et environnementale dont se dote un groupe qui voudrait promouvoir son implication dans ce domaine est généralement peu contraignante par elle-même, indépendamment des normes étatiques qui ont été édictées.
À l'inverse, le programme de conformité aux règles de concurrence pris sous la menace de sanctions résultant des préoccupations d'une autorité faisant suite à une enquête, présente un degré de contrainte absolu, sans doute plus fort que celui de la loi. D'une part, il a en effet presque la nature d'une sanction préventive librement acceptée. D'autre part, la précision de l'application de la règle à la situation exacte d'une entreprise déterminée dans les circonstances de fait révélées par l'enquête ne laisse que peu de doute à l'interprétation. Il n'existe dans ce cas qu'un faible aléa juridictionnel en cas de violation des engagements du programme, ce qui incite à son observation plus impérative.
Il en résulte que le phénomène de compliance n'a en lui-même pas de véritable unité de contrainte juridique et qu'il offre une variété de degrés entre rigidité et souplesse. Il n'est ni droit, ni non-droit, il est d'abord un degré de droit.
Mais c'est surtout une autre caractéristique essentielle qui est décisive de la valeur juridique. Car la compliance se double d'une curiosité essentielle pour la théorie du droit : elle en remet en cause le caractère abstrait et général pour se définir comme une norme instanciée.
Une régulation instanciée
Jusqu'ici la constante fondamentale de la règle de droit reposait sur son abstraction et sa généralité de façon à garantir l'égalité devant la loi. Mais, en renvoyant les sujets de droit à l'élaboration de leurs propres règles, le législateur renonce en partie à ces caractéristiques. Définir les termes de son programme de conformité ou de son dispositif de vigilance à tel ou tel risque, comme laisser à chacun le soin de définir son propre programme d'éthique, c'est admettre que la règle n'est plus uniforme. Pour emprunter l'expression au doyen Carbonnier, dans un tout autre domaine et un tout autre contexte15, c'est « à chacun son droit ».
Cette particularité est le résultat de l'application d'une norme de valeur supérieure qui est insuffisamment « spécifiante » ou qui est contingente de facteurs de risques (surveillance de flux/d'opérations). En matière de pratiques anticoncurrentielles par exemple, l'énoncé de la règle se limite pour l'essentiel à prohiber les ententes et abus de positions dominantes qui sont susceptibles d'entraver le fonctionnement du marché. En d'autres termes, la norme se définit par sa seule finalité économique. Nous avions souligné à cet égard l'inféodation du droit à l'économie16. Tandis que le droit s'assignerait principalement une finalité de justice en s'appuyant sur des concepts rigoureux et prévisibles, l'économie serait, dans la ligne de Mill et de Bentham, le terrain d'élection de l'utile et du pragmatique17. Et dans la fondation du droit économique, c'est le second qui l'aurait emporté en ce qu'il conduit moins à incriminer telle ou telle pratique définie qu'à rechercher si celle-ci permet des gains d'efficacité ou si, au contraire, elle est néfaste au marché18. « Le caractère instrumentaliste, voire opportuniste du droit économique »19 serait alors de nature à provoquer « le désarroi du juriste»20. En faisant prévaloir des concepts dont la portée juridique est imprécise (l'entreprise, le marché, le jeu normal de la concurrence...), le droit économique céderait à une profonde indétermination de la règle et à une inquiétante incertitude juridique qui en résulte. Bien que le professeur Claudel s'efforce de réconcilier un antagonisme trop caricatural entre droit et économie, elle concède par exemple que « le [concept de] marché est un instrument qui a cette particularité de s'adapter aux fins poursuivies », et a défendu l'idée selon laquelle « le respect des principes juridiques est souvent sacrifié à l'objectif d'efficacité »21.
Le droit de la concurrence n'est qu'un exemple parmi d'autres du principe de régulation qui gouverne certains domaines, c'est-à-dire ceux qui se définissent par un but22 (la concurrence libre et non faussée, la transparence des marchés financiers, la neutralité des réseaux, la vie privée informatique, etc.) plutôt que par un dispositif logique comprenant des principes, des exceptions et des conditions. La compliance-régulation inverse le mécanisme : elle ne prend pas la règle pour point de départ afin de vérifier s'il existe des causes de dérogation justifiée par la spécificité des situations. Elle part au contraire de la particularité des contextes pour les faire converger vers un objectif. La compliance apparaît à ce titre comme la traduction décentralisée de la régulation et comme une forme de réponse aux différentiels de normativité de façon à assurer une sécurité juridique suffisante.
Si elle cède devant la standardisation de la règle, la compliance restaure une meilleure efficacité par son adaptation à la diversité des configurations et des risques. En matière de prévention de la délinquance économique et financière, la sensibilité de ces risques n'est pas la même selon les habitus des secteurs ou des zones géographiques, ou selon la nature et la complexité des produits ou services. Plus la fraude est difficile à déceler, plus le niveau de vigilance nécessaire est élevé.
En matière de données personnelles, l'atteinte aux libertés des personnes ou le risque de divulgation dépend notablement de la sensibilité de la nature des informations, de leurs conditions de stockage, des possibilités de croisement des données ou des usages susceptibles d'être faits d'un détournement de la finalité. Établir des règles trop générales reviendrait en conséquence à un nivellement moyen des exigences qui seraient inutilement contraignantes dans certains cas et insuffisamment dans d'autres. C'est pour cette raison qu'acculturer la règle à l'environnement de l'entreprise, c'est en définitive la rendre plus spécifique, donc plus « spécifiante ». En matière informatique, cette opération est décrite comme une instanciation. Elle consiste à concevoir un élément à partir d'un modèle générique paramétré. La compliance n'est donc le plus souvent qu'une régulation instanciée qui décentralise la production normative afin de la rendre plus efficace.
On pourrait en déduire que l'individualisation de la règle résultant de l'adoption d'un programme de compliance par chaque entreprise risque d'altérer l'égalité devant la loi ou au moins de créer des distorsions de concurrence. C'est en réalité plutôt le contraire. Certes en permettant à chaque organisation d'adopter son propre droit, il se crée dans un premier temps une forme de compétition normative entre les opérateurs. Mais cette concurrence devrait théoriquement réaliser des gains d'efficacité, puisque les entreprises seront conduites à retenir la forme de compliance la moins contraignante (sans les excès d'une trop grande généralisation) tout en devant satisfaire aux mêmes buts que constituent les objectifs de régulation.
Dans un second temps, à maturité de cette compétition, la compliance devrait produire une coopération normative par un alignement des pratiques. En particulier dès lors que les programmes de conformité seraient rendus publics, les entreprises peuvent être tentées de s'inspirer de ceux des concurrents. Cette démarche permet de progresser dans l'adéquation entre l'application de la règle la moins contraignante et l'objectif de régulation. Il en résulte une forme de (re)standardisation du droit, mais en principe sans les défauts de la généralisation et à l'initiative des sujets de droit eux-mêmes. C'est d'ailleurs à peu près le même mérite, et en définitive par un processus relativement voisin, qui était celui des usages avec lesquels l'ancien droit entretenait des relations étroites. De là à dire que le retour des usages est l'avenir de la compliance, il n'y a qu'un pas.
D'ailleurs, en déléguant l'élaboration de la règle au sujet auquel elle s'applique, elle crée une double valeur, à la fois éthique et de sécurité juridique.
Compliance et création de valeur(s)
La compliance paraît prise dans une forme de contradiction philosophique entre une démarche d'utilité de la règle et la promotion presque a-normative d'une éthique personnelle. Cette contradiction n'est qu'apparente dès lors que l'on sait repérer dans le travail éthique un élan de conviction au service de l'effectivité de la règle (A) et de la crédibilité de son application à l'égard des tiers (B).
La valeur éthique de la compliance : un droit de conviction
On sait que le processus d'une règle comprise et acceptée est un facteur d'effectivité de la norme. Plutôt que de se limiter à la pédagogie du bien-fondé des règles qu'il adopte, le législateur comprend progressivement qu'il a intérêt à faire partager la culture et les objectifs qui l'animent.
En matière de délais de paiement, si le législateur français a choisi la voie du volontarisme brutal consistant à faire appliquer des amendes administratives pouvant désormais atteindre 2 millions d'euros, le législateur européen a souhaité promouvoir une véritable « culture du paiement rapide »23. Conscient qu'une véritable progression de la réduction des délais de paiement serait conditionnée à une prise de conscience des acteurs économiques, il a adopté une directive qui vise notamment à promouvoir la sensibilisation aux remèdes contre les retards de paiement et qui encourage l'établissement de codes de paiement rapide non contraignants.
De même, les stratégies développées pour assurer l'effectivité du droit de la concurrence ont notamment consisté à diffuser une « culture de la concurrence »24. Plus que de faire partager des « réflexes de concurrence », cette culture s'enracine dans « une certaine idée de la concurrence » nourrie de grands récits ou événements qui imprègnent l'imaginaire collectif.
C'est de cette conception de la concurrence que se tirent les programmes de conformité qui visent à diffuser cette culture. De la même manière, dans les différents terrains d'élection de la compliance, on pourrait identifier le développement d'une culture de l'anticorruption, des enjeux sociaux ou environnementaux, de l'ouverture ou au contraire de la propriété des données, etc.
En pratique, cette culture se traduit dans les différents documents élaborés pour la mise en place du programme de compliance, à savoir le document général de politique de conformité, mais aussi ses déclinaisons procédurales que peuvent être le plan de conformité, les chartes ou guides de bonnes pratiques25. On la retrouve également dans les dispositifs de formation et d'information qui accompagnent la mise en oeuvre du programme. On la décèle même à travers les outils techniques de détection et de pilotage des risques : la façon de concevoir les algorithmes d'identification d'opérations suspectes ou les technologies d'agrégation ou de normalisation des données à analyser n'est jamais neutre. Elle traduit un parti-pris révélateur d'une stratégie qui dépend en particulier de l'appétence au risque (risk appetite26). En réalité, la culture sous-jacente est plus large puisqu'elle est notamment déterminée par la forme de gouvernance politique ou économique de l'organisation. La compliance dans un réseau d'indépendants ne prendra naturellement ni la même forme ni la même philosophie que dans une entreprise à forte intégration. La typologie de risques et le mode de gestion du programme de conformité y seront très différents. Par exemple, les problématiques d'ententes au titre des échanges d'information y seront particulièrement sensibles puisque les membres du réseau doivent maintenir une concurrence intra-marque, alors qu'une entreprise intégrée sera plus vigilante sur les abus éventuels à l'égard de ses partenaires. De la même façon, un programme de conformité prendra en compte les conceptions scientifiques ou économiques de l'entreprise. Pour mettre en place un programme de compliance en matière de risques sanitaires ou de sécurité des produits, nous observons une plus ou moins grande hétérogénéité des méthodes de mesure, même lorsqu'elles font l'objet d'un certain consensus de normalisation qui n'élude pas toutes les interprétations. De la même façon, dans le domaine du numérique et des marchés bifaces, selon que l'entreprise mise sur un écosystème ouvert (fondé sur le libre accès, l'interopérabilité, la coopération) ou fermé (fondé sur la propriété et l'exclusivité), sa perception des gains d'efficacité économique et des risques concurrentiels sera probablement différente27.
De ce point de vue, la compliance appelle un nouveau rôle pour les juristes et les compliance officers. Au-delà de leur contribution à dire le droit ou à le faire parler. leur contribution suppose une compréhension plus fine des modèles économiques pour contextualiser le risque dans une culture d'entreprise. Cette culture participe d'une véritable identité normative qui rend le sujet de droit actif.
En apparence, cette approche ne semble pas rendre compte de la composante éthique de la compliance. Alors que la culture relève du savoir et du discours (logos), l'éthique s'inscrit, elle, dans le registre de la conviction de ce qui est juste. Des auteurs ont souligné que « l'enjeu pour les entreprises consiste à dépasser l'éthique personnelle pour mettre en place une véritable culture éthique organisationnelle » en faisant valoir que « l'éducation, les valeurs personnelles, la culture et l'histoire de chacun nous rend tous différents dans l'appréciation éthique au moment de la prise de décision »28.
Si le droit s'est toujours méfié de la morale - un peu trop grande pour lui -, il paraît vouloir s'approprier l'éthique - qui lui semble à sa portée - en créant des disciplines nouvelles qui l'absorbe : bioéthique, éthique numérique, compliance, etc. Mais l'éthique est souvent devenue une « étiquette » publicitaire, au point que la compliance pourrait céder à la tentation de se limiter à une valorisation marketing de la conformité ou de vagues déclarations d'intentions. En somme de la « cosm'éthique »29.
Mais si l'on voulait bien admettre que l'éthique est la conception personnelle que l'on peut se faire du juste, et si l'on consent à reconnaître que le droit n'épuise pas la substance du juste (parce qu'il est abstrait et général, parce qu'il est en retard ou pas suffisamment ambitieux), alors la dimension éthique de la compliance cesse d'être anecdotique ou éthérée. En renvoyant la croyance du juste au sujet, l'éthique prend une dimension essentielle dans la portée et l'efficacité de la compliance. L'éthique y ressort comme le mécanisme qui permet de s'approprier la règle pour la rendre plus effective. Elle est donc autant un point de vue moral sur la règle qu'un facteur d'efficacité de son application.
Dans son document-cadre relatif aux programmes de conformité30, l'Autorité de la concurrence souligne le risque que ceux-ci soient artificiels si les conditions de mise en oeuvre effective ne sont pas réunies. Ce guide conditionne la valeur d'un programme de conformité à une prise de positionnement ferme des dirigeants sur le respect des règles et à une sensibilisation dans l'entreprise, mais il exige également la mise en place de mécanismes d'alerte, de conseil, d'audit et de responsabilisation. En d'autres termes, il ne suffit pas de proclamer son attachement au droit, il faut croire suffisamment aux règles que l'on se donne pour les rendre effectives. Ce qui caractérise la dimension éthique, c'est donc moins sa dimension ultra-légale que la conviction que ce qui doit être soit.
Dans la compliance, l'éthique n'est finalement pas un tour de rhétorique abstrait, mais bien, comme son étymologie l'indique, une rhétorique performative. Car l'ethos est la manière d'être qui établit la crédibilité du locuteur à dessein de gagner la confiance.
En documentant les pratiques réellement mises en oeuvre dans l'entreprise, la compliance repose sur la crédibilité éthique. C'est ce qui lui confère sa valeur finale en procurant un degré de sécurité juridique plus élevé.
La valeur de la sécurité juridique : un droit de crédibilité
Les entreprises témoignent régulièrement des inconvénients résultant de l'insécurité juridique. Le rapport annuel du Conseil d'État indiquait qu'elle pèserait entre trois et quatre points de PIB selon les pays de l'OCDE31. Il soulignait que la sécurité juridique comporte deux axes : la qualité de la règle et sa prévisibilité.
Appliquée aux domaines d'élection de la compliance, dont on a mis en évidence qu'ils se caractérisent souvent par des énoncés de principe contingents de leur contexte, la sécurité juridique constitue un enjeu décisif.
Son premier degré est intrinsèque à la règle. Mais le processus éthique dont procède en principe la compliance est destiné à offrir un second degré : celui qui atteste d'une certaine confiance des tiers dans la conformité et que l'on qualifiera de sécurité extrinsèque.
La sécurité intrinsèque. - L'instanciation de la règle répond à la nécessité de précision indispensable à permettre de s'assurer de la conformité des pratiques sans avoir à se référer à des interprétations complexes. En définissant elle-même des notions, en les acclimatant à leur environnement, l'entreprise se ménage par avance une signification comprise et appropriée.
Mais, la sécurité intrinsèque tient également à la crédibilité des justifications et des options prises dans le programme de compliance. En d'autres termes, elle est directement liée à l'identité normative de l'entreprise qui réalise un passage entre ce qui doit être et ce qui est.
Paul Ricoeur32 avait en effet repéré deux conceptions de l'identité : l'identité-mêmeté qui désigne une identité invariable et l'identité-ipséité qui désigne le soi changeant. L'identité-mêmeté normative serait à ce titre la constante immuable et intangible qui se confond avec la règle objective. L'identité-ipséité normative serait celle qui évolue et qui construit le soi. C'est de cette identité dont l'entreprise doit répondre.
Or, Paul Ricoeur émet l'hypothèse que seul le récit permet d'articuler les deux faces de l'identité dans une identité narrative. L'efficacité de la compliance apparaît à cet égard comme une façon pour l'entreprise de raconter qui elle est, de raconter son droit, de façon à ce que les autorités et les tiers comprennent son rapport à la règle générale et les moyens pour répondre aux buts de régulation. Cet aspect de la compliance est une façon de pré-plaider sa cause avant même tout procès. Au temps de la standardisation et de l'ubérisation du droit, il renouvelle ainsi le rôle du juriste appelé à convaincre par anticipation.
La sécurité extrinsèque. - Au premier rang des tiers concernés par la conformité figurent les autorités de contrôle et de régulation ainsi que l'autorité judiciaire elle-même. La compliance n'implique certes pas une quelconque reconnaissance a priori ni de la conformité du programme ni de celle des pratiques elles-mêmes. Les autorités conservent à cet égard une entière faculté d'appréciation. Mais l'adoption et la documentation d'un programme de conformité, s'il répond dans sa forme aux attentes des autorités, confèrent une apparence de respect de la réglementation. Dès lors que les règles et principes de régulation instanciés reflètent correctement la réglementation et que les procédures de sensibilisation et de contrôle répondent au risque de défaillance en fonction de sa criticité, les autorités devraient pouvoir accorder une confiance légitime dans l'organisation qui les a mises en place sans procéder à des investigations approfondies.
De ce point de vue, le programme de compliance, pourvu qu'il soit crédible, établit un premier rempart contre l'agression éthique33 que représente toute enquête des autorités susceptible de conduire à une menace financière. Même si les autorités de contrôle sont censées n'être que des agents objectifs d'application de la loi, les nombreuses expériences des entreprises montrent non seulement que les régulateurs peuvent avoir des marges d'interprétation défavorable des textes, mais encore qu'ils peuvent faire preuve de stratégies plus ou moins loyales.
De son côté, l'entreprise peut être plus ou moins habile dans l'organisation de sa défense. Indépendamment même de la conformité effective, qu'il faut comprendre comme une situation relative, la nécessité de se défendre et le risque de s'y trouver défaillant représentent des menaces contre lesquelles le programme de compliance est destiné à se prémunir avec une probabilité suffisante.
Cette probabilité serait d'autant plus grande que le programme de conformité aurait été élaboré avec le concours de tiers de confiance, et plus encore s'il bénéficiait d'une certification par les autorités ou par un auditeur indépendant. De ce point de vue, le marché de toutes les formes de commissariat au droit a assurément de beaux jours devant lui...
Conclusion
Madame Frison-Roche a souligné34 que la compliance a été largement instrumentalisée par les États-Unis en organisant, notamment à partir de lois extraterritoriales, une forme de racket des grandes entreprises qui ne respecteraient pas les « buts monumentaux » qu'elle leur assigne35.
Mais en instituant ces entreprises cruciales en « régulateurs de second niveau »36, en les contraignant à adopter une politique de conformité, la compliance aura sans doute profondément et durablement modifié le visage du droit. D'une dichotomie binaire entre le légal et l'illégal, elle aura participé à lui donner toutes ses nuances, à envisager le sujet de droit comme un législateur de second niveau.
Cette évolution n'est probablement pas seulement le fruit d'une déviance de la régulation. Elle traduit, dans un monde d'inflation législative ininterrompue, justifiée par la complexification et le raffinement des relations économiques et sociales, un besoin de sécurité. Elle répond à un nouveau regard sur le droit qui n'appréhende plus la règle comme un absolu, mais comme une gestion du risque juridique dans son environnement. La compliance est beaucoup plus universelle qu'il n'y paraît.
Mots-clés: Compliance; Régulation; Soft law; Conformité; Sapin 2; République numérique - RGDP
NOTES:
[note 1] L. n° 2016-1691, 9 déc. 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique : JO 10 déc. 2016, texte n° 2 ; JCP E 2016, act. 1008 ; JCP E 2016, 1622, M.-E. Boursier ; Rev. int. Compliance 2017, comm. 47, E. Garault.
[note 2] PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE : JOUE n° L 119, 4 mai 2016, p. 1. - V. not. JCP E 2016, act. 422 ; JCP E 2016, dossier 1323 à 1329.
[note 3] N. Lenoir et A. Jacquin, Les lanceurs d'alerte dans le projet de loi « Sapin II » : JCP E 2016, act. 291. - F. Verdun, Projet de loi Sapin 2 : statut du lanceur d'alerte et programme anticorruption au regard du droit social : JCP E 2016, 1647.
[note 4] L. n° 2016-1691, 9 déc. 2016, préc., spéc. art. 13.
[note 5] L. n° 2016-1691, 9 déc. 2016, préc., spéc. art. 17.
[note 6] L. n° 2016-1691, 9 déc. 2016, préc., spéc. art. 18.
[note 7] Mise en application des accords de Bâle II, PE et Cons. UE, dir. 2009/138/CE, 25 nov. 2009, sur l'accès aux activités de l'assurance et de la réassurance et leur exercice, dite Solvabilité : JOUE n° L 335, 17 déc. 2009, p. 1.
[note 8] L. n° 2016-1321, 7 oct. 2016 : JO 8 oct. 2016, texte n° 1. - V. notamment sur cette loi, JCP E 2016, act. 789. - J. Lasserre Capdeville, Loi République numérique : évolutions intéressant les services de paiement et la monnaie électronique : JCP E 2016, 1676. - D. Forest, La gouvernementalité algorithmique : JCP E 2016, 932.
[note 9] Sur les risques de manipulation du classement et leur importance pour le jeu de la concurrence, V. L.-M. Augagneur, Vers de nouveaux paradigmes du droit dans l'économie numérique : RTD com 2015, p. 455.
[note 10] Nous reprenons ici délibérément un anglicisme (d'étymologie latine) emprunté au domaine informatique. L'instanciation consiste à créer un nouvel objet à partir d'un modèle ou d'une classe. Il s'agit donc d'un exemple applicatif d'un objet dans un environnement déterminé.
[note 11] PE et Cons. UE, règl. (UE) n° 2016/679, 27 avr. 2016, préc.
[note 12] X. Lemarteleur, Règlement UE sur la protection des données personnelles, entre réformisme et conservatisme : Rev. int. Compliance 2016, étude 103.
[note 13] C'est d'ailleurs le thème de la table-ronde à laquelle nous avons été convié à intervenir, N. Borga et J.-C. Roda (ss dir.), colloque La compliance : nouveaux enjeux pour les entreprises, nouveaux rôles pour les juristes, 2 juin 2017, univ. Jean Moulin, Lyon 3.
[note 14] M.-A. Frison-Roche, Le droit de la compliance : D. 2016, p. 1871.
[note 15] J. Carbonnier, À chacun sa famille, à chacun son droit, Essais sur les lois : Defrénois, 1979, p. 167.
[note 16] L.-M. Augagneur, Existe-t-il une culture de concurrence ? : RRJ 2009, vol. 34, n° 129, p. 1879.
[note 17] M. Villey (ss dir.), L'utile et le juste : Sirey, 1981.
[note 18] V. les références bibliographiques citées et leur synthèse in L. Donnedieu de Vabres-Tranié et C. Montet, Un droit de la concurrence : pour quoi faire ? : Contrats, conc. consom. 2005, étude 22, § 5.
[note 19] A. Jacquemin, L'économique, serviteur de l'économie : RTD com. 1972, p. 283.
[note 20] M. Malaurie-Vignal, Logique économique et logique juridique : Contrats conc. consom. 2005, étude 20.
[note 21] E. Claudel, Ententes anticoncurrentielles et droit des contrats, th. Paris, 1994, § 17.
[note 22] Marie-Anne Frison-Roche qualifie ces buts de « monumentaux » pour souligner à la fois leur ambition et le renversement logique, V. M.-A. Frison-Roche, Les fonctions de la compliance : un choix politique à opérer in N. Borga et J.-C. Roda (ss dir.), colloque 2 juin 2017, préc.
[note 23] L.-M. Augagneur, La directive 2011/7 à la recherche d'une culture du paiement rapide : JCP E 2011, 1912.
[note 24] L.-M. Augagneur, Existe-t-il une culture de concurrence ? préc.
[note 25] Sur la méthodologie de la mise en place d'un programme, V. C. Duchatelle, La conformité, nouvel enjeu dans le secteur de l'assurance : Rev. int. Compliance 2016, comm. 30.
[note 26] G. Faverel, T. Godefroy, P. Lascoumes, Le marché de la gestion des risques et de la conformité, Sciences Po/CERI-CNRS : www.ceri-sciences-po.org.
[note 27] Aut. conc., Analyse économique des systèmes ouverts ou fermés, 16 déc. 2014 : http://www.autoritedelaconcurrence.fr/doc/analyse_eco_syst_ouvert_ferme.pdf.
[note 28] O. Classiot, N. Renouard, De la compliance à l'éthique des affaires, de la règle descendante à la culture partagée, de la direction juridique à la direction RSE : Rev. int. Compliance 2016, étude 37.
[note 29] B. Cordier, La compliance, une fonction en pleine évolution : Analyse financière, janv.-mars 2016, p. 80.
[note 30] Aut. conc., Document-cadre, 10 févr. 2012 sur les programmes de conformité aux règles de concurrence : www.autoritedelaconcurrence.fr/doc/document_cadre_conformite_10_fevrier_2012.pdf.
[note 31] Rapp. CE, 2006, p. 277 : www.conseil-etat.fr/content/download/356/1096/version/1/file/rapportpublic2006.pdf.
[note 32] P. Ricoeur, Temps et récit III : Seuil, 1985.
[note 33] F. Tricaud, L'accusation - Recherche sur les figures de l'agression éthique : Dalloz, 1977.
[note 34] M.-A. Frison-Roche, Les fonctions de la compliance in La compliance : nouveaux enjeux pour les entreprises, nouveaux rôles pour les juristes ? N. Borga et J.-C. Roda (ss dir.), colloque, 2 juin 2017, préc.
[note 35] V. condamnation de BNP Paribas à payer aux autorités américaines près de 9 milliards de dollars pour avoir financé des opérations économiques violant l'embargo des États-Unis contre Cuba, le Soudan et l'Iran.
[note 36] M.-A. Frison-Roche, Les fonctions de la compliance in La compliance : nouveaux enjeux pour les entreprises, nouveaux rôles pour les juristes ? N. Borga et J.-C. Roda (ss dir.), colloque, 2 juin 2017, préc.
DATE-CHARGEMENT: 05 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Editions du Juris Classeur
Tous droits réservés
377 of 500 DOCUMENTS
Les Echos Executives
jeudi 5 octobre 2017
Recruter grâce au Big Data ou croire que tout est modélisable
AUTEUR: Emmanuel Stanislas
RUBRIQUE: ARTICLE; La difficulté d'agréger l'ensemble des compétences des candidats
LONGUEUR: 548 mots
ENCART: RECRUTEMENT ET BIG DATA 2/3. Les algorithmes permettent de recruter plus rapidement et sans discriminations. Mais cela nécessite de grands volumes de données, restreignant pour le moment leur utilisation aux grands groupes disposant d'une masse critique de salariés et de candidats.
Attention à ne pas tomber dans le piège de la croyance aveugle en une logique qui aurait systématiquement raison, puisque scientifique. L'impression de réduction du risque produite par l'analyse statistique ne doit pas être perçue comme une vérité immuable qui ferait passer toutes les corrélations pour des causalités.
Cette approche mathématique n'est pas infaillible car la psychologie humaine n'est pas une science exacte, mais empreinte d'émotions et victime de biais cognitifs. L'homme n'est pas toujours un « homo economicus » doté d'un raisonnement rationnel constant, mais constitué de milliers de subtilités que les algorithmes mettront du temps à comprendre et assimiler.
La difficulté d'agréger l'ensemble des compétences des candidats
Plus le recrutement est spécifique et pointu, s'intégrant généralement dans un contexte de guerre des talents, et plus l'humain conservera sa valeur ajoutée par rapport à l'automatisation des processus dans la quête d'identification et de sélection des profils. Prenons l'exemple du Data Scientist, très recherché actuellement, avec un vivier restreint de talents divisé entre les jeunes diplômés de cette spécialité ou de plusieurs autres convergentes, et les cadres confirmés dont les compétences ont évolué progressivement vers ce métier. Une recherche de profils, au ciblage épars, est encore complexe pour la machine qui aura des difficultés à agréger l'ensemble des compétences, techniques, comportementales, managériales, et « l'intelligence émotionnelle » qui fait de chaque candidat, une personne unique.
Aujourd'hui, de nombreuses données sont encore difficilement modélisables et l'examen approfondi d'une personnalité par des algorithmes lors de tests poussés ne saurait être suffisamment complet pour se passer du regard de l'homme. D'autant plus que pour produire des résultats probants, il est nécessaire d'alimenter les algorithmes avec de grands volumes de données, restreignant pour le moment leur utilisation aux grands groupes disposant d'une masse critique de salariés et de candidats.
Quid de la collecte des données personnelles ?
Et lorsque l'on dispose de suffisamment de données pour modéliser le profil du candidat parfait, n'y a-t-il pas un risque de ne recruter que des clones du salarié performant ? La diversité des profils nécessaire pour la complémentarité et l'émulation entre collaborateurs en prend un sacré coup. Pire encore, ce type de recrutement prédictif aurait pour effet d'inciter les entreprises à reproduire ce qu'elle maîtrise déjà, les faisant glisser vers l'immobilisme quand l'époque exige au contraire de la prospective et des prises de risque.
Il demeure enfin la problématique des données personnelles. La loi Informatique et Liberté exige que l'on collecte et traite des données avec un objectif déterminé, légitime et explicite alors que des quantités astronomiques d'informations sont le plus souvent rassemblées par les entreprises sans encadrement défini, avant même la conception des algorithmes. Avec l'entrée en vigueur du RGPD en mai 2018, nul doute que la transparence des algorithmes de recrutement sera scrutée au plus près.
Emmanuel Stanislas est fondateur de Clémentine, cabinet de recrutement spécialiste des talents de l'IT et du Digital. Sur Twitter : @ClementineJobs
Contributor:
DATE-CHARGEMENT: 6 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
378 of 500 DOCUMENTS
Stratégies
5 octobre 2017
Edition 1;
National Edition
Apple s'attaque aux cookies;
INTERNET La derniÈre mise à jour de Safari 11, le navigateur web et mobile d'Apple, va modifier ostensiblement l'univers des données en ligne. Qu'est-ce qui va changer ? Stratégies fait le point.
AUTEUR: EMMANUEL GAVARD
RUBRIQUE: BUSINESS / CULTURE TECH; Pg. 28,29
LONGUEUR: 994 mots
pour paraphraser courtoisement l'ancien président de la République, Jacques Chirac: «Les [ennuis], ça vole toujours en escadrille.» C'est à peu prÈs ce que s'est dit le monde de la pub en ligne aprÈs la mise à jour du navigateur d'Apple, Safari 11. Alors que le RGPD pointe son nez, que la fraude n'en finit plus d'évoluer, voilà que la pomme croquée rajoute de la complexité à un sujet déjà ardu.
«Son navigateur embarquera de l'Intelligent Tracking Prevention (ITP) sur macOS et iOS, explique Frédéric Marty-Debat, le récemment nommé directeur général de Performics. Ce systÈme limite la récolte de données des internautes. ConcrÈtement, les cookies tiers (third-party data) ne seront acceptés qu'en partie, au bout de 24 heures, aucun acteur en dehors du site qui a déposé le cookie ne pourra y avoir accÈs. Et au bout de 30 jours, ils disparaîtront complÈtement. » Habituellement, lorsqu'un internaute accÈde au site de ecommerce www.Table.fr, il crée un cookie qui récolte de nombreuses données -son adresse IP, le moyen par lequel il est arrivé sur le site, les tables consultées, comment les recherches ont été faites...-, afin de le cerner avec précision et connaître ses intérêts.
INTERNAUTE TOUT NEUF. Une partie des données contenues dans le cookie est souvent partagée avec des entreprises spécialisées dans la publicité en ligne, notamment pour faire du retargeting et mieux cibler les publicités. Plus tard, si ce même internaute parcourt un mé-dia en partenariat avec l'une de ces entreprises, cette derniÈre connaîtra son historique. Elle pourra indiquer au média que l'internaute a consulté des tables par le passé afin de lui diffuser des publicités pour d'autres tables ou des chaises... C'est ce qu'on appelle le cross-site tracking. Il permet de reconnaître les goûts d'un internaute -anonyme- d'un site à l'autre. Or le but d'ITP de Safari consiste à empêcher cela pour, officiellement, « protéger l'utilisateur ». Les cookies générés lors de la premiÈre visite ne pourront plus être partagés aprÈs 24 heures et disparaîtront au bout de 30 jours. L'internaute hésitant qui, à l'aube du 31e jour, n'aurait toujours pas acheté sa table, serait considéré comme un internaute tout neuf par www.Table.fr. Exit la personnalisa-tion des pages d'accueil ou autres solutions e-commerce d'expérience client.
Le secteur de la pub en ligne se voit ainsi amputé d'un joujou considérable : le desktop et toute la pub sur le web mobile pour les utilisateurs d'Apple. Sur smartphone, en termes de publicité in-app, rien ne changera. De quoi satisfaire le secteur. « À long terme, il faut rester positif. Aux États-Unis, plus de 58 % de la consommation d'internet se fait in-app. En France, 90 % du temps passé sur le mobile se fait dans les applications, tempÈre Nicolas Rieul, vice-président de la stratégie chez S4M. Cette mutation pourra accélérer la tendance, notamment au niveau des investissements des annonceurs qui privilégieront sûrement leurs applications. » En attendant, pour ce qui est du business de cookie, le monde de la publicité se coupe d'une bonne partie du parc d'utilisateurs. Dans le monde, Safari possÈde 15 % de parts de marché, tous supports confondus, et 19 % sur le mobile.
Google réplique La modification de Safari 11 touchera toutes les données en third-party: il sera beaucoup plus difficile de suivre l'internaute de site en site, et l'analyse des performances des campagnes sera fortement dépréciée. Google, en réponse, a modifié sa façon de collecter les données. Il a créé un nouveau cookie «_gac », qui transforme les données autrefois collectées en third-party en des données firstparty - concrÈtement, elles ne sont plus stockées sur un serveur tiers, mais dans le cookie lui-même. Ce qui répond aux normes de l'ITP de Safari. «La mesure des performances des campagnes - notamment Adwords - pourra être réalisée, mais elle dépendra de l'association faite avec Google Analytics [l'outil de mesure de performance globale des sites web, trÈs répandu] », explique Frédéric Marty-Debat, le directeur général de Performics.
Si aux États-Unis, Apple bénéficie d'une part plus importante, en France, Safari ne totalise que 20 % de parts de marché tous appareils confondus, et 35 % sur le mobile. « Mais au-delà de la part de marché, les utilisateurs Apple représentent les plus grands adeptes du digital, et surtout les CSP les plus élevées », ajoute Nicolas Rieul. Une cible de choix qui s'effacera des bases de données. Et si la publicité in-app fonctionne encore, elle ne concerne que des utilisateurs déjà conquis. L'acquisition, justement, se fait via web mobile. Quant au desktop, il reste encore un support de choix en e-commerce.
L'APP STORE D'ABORD. Pourquoi diable Apple s'en prend-il ainsi à la publicité en ligne ? En réalité, ce n'est pas une surprise. « Pour les acteurs du mobile et du display, on sait depuis 2014 que la data sur le web mobile sera compliquée. Sur Safari, les cookies tiers étaient déjà bloqués par défaut », raconte Nicolas Rieul. L'utilisateur devait ainsi approuver qu'on les lui dépose. Criteo, gros acteur français affecté par ce business, avait trouvé une astuce pour contourner le problÈme, en faisant comme la Cnil : un bandeau demandait l'approbation de l'internaute pour déposer un cookie, mais, sans réponse de sa part, considérait qu'il était accepté dÈs que la personne commençait sa navigation sur le site.
« Depuis toujours, Apple voit la pub comme un élément qui ne crée pas de valeur pour les internautes », estime Frédéric Marty-Debat. Ce n'est pas son modÈle économique premier, et son systÈme publicitaire, iAd, a été stoppé faute de succÈs. En revanche, Apple a tout intérêt à ce que le trafic se développe sur les applications : l'App Store reste pour lui un gros pourvoyeur de business.
Mais la marque à la pomme n'est pas la seule à tirer profit de ce changement. Google, par exemple, a trouvé une astuce [lire ci-contre]. Comme souvent, les plus gros acteurs sont les moins affectés... ?
DATE-CHARGEMENT: October 5, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: LA RÉCOLTE DE DONNÉES des internautes sera limitée sur macOS et iOS: les cookies tiers ne seront acceptés qu'en partie et disparaîtront au bout de 30 jours.© Getty Images
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
379 of 500 DOCUMENTS
RiskAssur
lundi 2 octobre 2017
Carte Blanche Partenaires réagit au rapport de l'IGAS sur les réseaux de soins
RUBRIQUE: POINT
LONGUEUR: 1310 mots
Le rapport de l'Inspection Générale des Affaires Sociales (IGAS) de Juin 2017 sur les réseaux de soins souligne les forces et faiblesses des réseaux de soins, et avance différentes recommandations pour améliorer leur fonctionnement dans l'écosystème de la santé et de l'assurance, et plus généralement l'accès aux soins des assurés.
Seul réseau de soins réellement \xAB ouvert \xBB, et pas \xAB restreint \xBB, pour reprendre la juste dénomination employée par l'IGAS afin de signifier le caractère sélectif de certains réseaux se disant ouverts, Carte Blanche Partenaires revient sur des éléments substantiels du rapport et partage ses recommandations.
Le rapport de l'IGAS indique que 45 millions de français ont accès à un réseau, par ailleurs nous connaissons la forte satisfaction des bénéficiaires de ces services.
Cette réalité, qui corrige l'asymétrie de connaissance entre le patient et le professionnel, s'oppose aux contradicteurs qui font une interprétation fallacieuse des termes de ce rapport.
DES RECOMMANDATIONS PARTAGEES POUR OPTIMISER LES BONS RESULTATS DES RESEAUX DE SOINS
Le rapport IGAS met en lumière le rôle des réseaux de soins dans la maîtrise des coûts et la levée d'une partie des obstacles financiers pour l'accès aux soins, notamment en optique. Des résultats concrets au bénéfice de tous qui montrent la voie pour d'autres équipements de santé.
Carte Blanche Partenaires partage par ailleurs certaines recommandations de l'IGAS et porte également différentes préconisations pour améliorer l'accès aux soins des Français par un fonctionnement optimisé des réseaux de soins.
Parmi elles :
- Engager une réelle concertation avec l'ensemble des acteurs (corps médical, Assurance Maladie, assureurs complémentaires, réseaux de soins, fabricants et distributeurs) sur la qualité et le tarif des équipements et des prestations, ainsi que sur les conditions de mise en oeuvre d'une réelle prévention.
- Créer une instance placée sous l'autorité de la Ministre de la Santé qui rassemblera tous les acteurs de chaque filière pour établir un référentiel de bonnes pratiques professionnelles.
- Maintenir et agrandir les possibilités données aux réseaux de soins de contracter avec les professionnels de santé autour d'engagements volontaires.
CARTE BLANCHE PARTENAIRES, UN RESEAU DE SOIN OUVERT... ET EXEMPLAIRE
La qualité des systèmes d'information
\xAB la dématérialisation et l'automatisation des procédures offertes par les plateformes constituent un service incontestable sur le plan de l'efficience logistique. Cette appréciation est toutefois nuancée par (...) les contraintes induites (...) par l'usage de plusieurs logiciels différents lorsque le professionnel adhère à plusieurs réseaux. \xBB
Une réelle différenciation de Carte Blanche Partenaires qui a été le premier réseau à implémenter la norme métier de l'Optique, OptoAMC, dans son outil de gestion des prises en charge, \xAB CBPEC \xBB. Cette intégration dans leurs logiciels de vente a très tôt été prise en compte pour faciliter les tâches administratives des opticiens, un temps précieux qui peut ainsi être consacré au service client en magasin.
De plus, la dématérialisation des prises en charges est aujourd'hui proposée en Dentaire et en Audioprothèse.
Le taux de recours moyen en optique
\xAB Si l'on considère le nombre de personnes pouvant y accéder et ayant acheté un équipement d'optique, cela équivaut à un taux de recours à ces réseaux d'environ 60% \xBB.
A ce jour, le taux de recours moyen au sein du réseau optique de Carte Blanche Partenaires est de 90%, soit 9 achats sur 10.
L'intérêt des réseaux dans la lutte contre la fraude
\xAB Les réseaux de soins sont également un moyen efficace de lutte contre la fraude. \xBB
Le service Contrôle et Fraude de Carte Blanche Partenaires réalise des contrôles a priori (en entrée du système de gestion de prises en charge), a posteriori (en sortie) et sur place. Dans le cadre des contrôles a priori en optique, 500 000 prises en charge sont refusées par an. Depuis janvier 2016, près de 6 500 contrôles a posteriori ont été effectués auprès de 2193 opticiens ciblés. 29% des opticiens contrôlés ont été résiliés.
L'accès aux soins d'un point de vue géographique
\xAB l'impact des réseaux sur l'accès aux soins du point de vue géographique est plus incertain (...) loin de corriger les inégalités d'accès aux soins les réseaux auraient plutôt tendance à les accentuer \xBB
En tant que réseau ouvert, sans numérus clausus, Carte Blanche Partenaires couvre 100% du territoire national, y compris la Corse et les DROM. Ce fort maillage territorial permet à 83% des bénéficiaires d'accéder à un opticien partenaire dans un rayon de 5km et à 71% d'entre eux d'accéder à un chirurgien-dentiste partenaire dans un rayon de 5km. Ces distances minimisées simplifient la démarche du bénéficiaire et lui garantit une prise en charge à proximité par un professionnel de santé conventionné.
La restriction de la liberté de choix
\xAB Les réseaux de soins opèrent une forte restriction de la liberté de choix et de prescription. \xBB
Du point de vue du bénéficiaire, le modèle \xAB ouvert \xBB constitue un gage de liberté. Ne pratiquant pas le remboursement différencié, l'offre du réseau n'est qu'un atout supplémentaire dans la couverture des soins, et en aucun cas une contrainte. Si un bénéficiaire souhaite consulter hors réseau, son remboursement ne sera pas différencié.
Du point de vue du professionnel de santé, le modèle \xAB ouvert \xBB garantit à la fois une liberté dans l'adhésion (pas de numérus clausus, possibilité d'entrer ou de sortir du réseau à tout moment) ainsi que dans le choix des fournisseurs (pour l'optique : 14 fabricants et 13 distributeurs référencés, 58 000 références de verres et lentilles). A noter que la dénomination \xAB restreint \xBB (versus \xAB ouvert \xBB) prend ici tout son sens dans la mesure où la constitution du catalogue repose sur une sélection réduite des produits et les conditions d'accès restreignent l'adhesion des professionnels de santé.
Enfin, en ce qui concerne la consultation des représentants de la filière, Carte Blanche Partenaires s'attache à développer son esprit partenarial. Carte Blanche Partenaires travaille en étroite collaboration avec l'UFSBD (Union Française pour la Santé Bucco-Dentaire) afin de toujours mieux appréhender la réalité de la pratique des soins buccodentaires.
Carte Blanche Partenaires est également engagé en faveur de la prévention aux côtés de l'UFSBD.
La collecte et le traitement des données personnelles
\xAB les pratiques constatées [collecte, traitement et conservation des données] font apparaître une grande variabilité voire des écarts avec le droit \xBB
En 2016, Carte Blanche Partenaires a traité 2 Millions de prises en charge Optique, 100% dématérialisées en toute sécurité et légalité de bout en bout du traitement en HDS. Le consentement exprès est depuis toujours le socle de la relation avec le bénéficiaire de ses services. Son responsable des données de santé, également correspondant Informatique et Liberté (CIL), coordonne depuis 2015 les travaux de protection des données personnelles : le système de Carte Blanche Partenaires est d'ores et déjà conforme au RGPD (règlement européen pour la protection des données) qui entrera en vigueur le 25 mai 2018.
À propos de Carte Blanche Partenaires :
Expert en services santé innovants pour ses clients organismes complémentaires santé, Carte Blanche Partenaires est un pivot de la relation entre complémentaires santé, assurés et professionnels de santé avec pour objectif de faciliter l'accès à la prévention et aux soins pour les bénéficiaires tout en gérant la maîtrise des dépenses de santé. Carte Blanche Partenaires intervient dans le domaine des réseaux de professionnels de santé et de l'accompagnement santé avec un réseau de plus de 160 000 partenaires.
DATE-CHARGEMENT: 2 octobre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Franol Services
tous droits réservés
380 of 500 DOCUMENTS
La Tribune
Jeudi 28 Septembre 2017
Données personnelles : le DPO, nouvel acteur de la confiance numérique ?
AUTEUR: Yann Padova
RUBRIQUE: OPINIONS; Pg. 131
LONGUEUR: 741 mots
ENCART: A quelques mois de l entrée en vigueur du Règlement européen sur les données personnelles (RGPD), les entreprises préparent activement leur mise en conformité avec ce texte. L un des enjeux majeurs est de savoir si elles doivent, ou non, se doter d un Data Protection Officer (DPO). Selon certaines estimations, plus de 25.000 postes de DPO pourraient être créés en France par le Règlement. Par Yann Padova, Partner chez Baker McKenzie
Le rôle du DPO est intimement lié à la logique profonde du Règlement : la fin du contrôle a priori (« déclarations ») par les autorités de protection des données (la CNIL en France) en contrepartie de l'obligation pour les entreprises d'incorporer dans leur organisation et dans leurs processus mêmes, la protection des données. Le maître-mot pour les entreprises sera donc d'être en mesure de « démontrer » qu'elles sont conformes. Un rôle polyvalent, transversal et stratégique Le DPO est le véritable « chef d'orchestre » de cette nouvelle mission de « démonstration de la conformité ». Sur le plan opérationnel, il a pour missions d'informer et de conseiller le responsable de traitement (l'entreprise qui met en uvre le fichier) mais aussi les salariés qui procèdent au traitement de données, sur leurs obligations. Il doit également contrôler la bonne mise en uvre du Règlement, les formations, les audits, la conduite d'une étude d'impact lorsqu'elle est obligatoire.
Enfin, le DPO coopère avec les autorités de protection des données : il est le point de contact au sein de l'entreprise. Dans ce cadre, il doit agir en toute indépendance et rapporter « au plus haut niveau de l'entreprise », donc au niveau stratégique. Pour mener à bien ses trois missions, le DPO doit posséder un certain nombre de compétences dont certaines figurent dans le Règlement. De solides connaissances juridiques et une bonne compréhension du Règlement sont requises. Il doit également être un fin connaisseur de l'entreprise, de son c ur de métier et être proche des opérationnels afin que ses conseils soient pertinents et adaptés aux problématiques concrètes rencontrées. Il doit enfin être un bon communiquant dans la mesure où il rapporte au comité exécutif et doit « évangéliser » en interne, voire former les autres salariés. Toutes ces compétences font qu'il n'existe pas de profil type du DPO : aujourd'hui dans 40% des cas les DPO sont des juristes, dans 30% ils ont un profil technique (SI) et pour les 30% restant un profil administratif. Au-delà de ses compétences, la formation et les moyens qui seront alloués au DPO demeurent, bien entendu, essentiels. À défaut, il ne sera pas en mesure de remplir pleinement ses missions ce qui pourrait présenter un risque pour l'entreprise. Le DPO, un futur « standard » pour les entreprises ? Selon le RGPD, la désignation d'un DPO est obligatoire pour les autorités publiques ou si l'entreprise traite des données « sensibles » à grande échelle telles que des données de santé ou encore « si les activités de base de l'entreprise, du fait de leur nature, de leur portée ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes ». Ce dernier point étant sujet à interprétation, le groupe des CNIL européennes a publié une recommandation en avril 2017 l'explicitant : les entreprises concernées sont celles dont le c ur de l'activité et les traitements portent sur un grand nombre de personnes ou celles qui procèdent au suivi régulier des personnes dans l'espace et le temps. À titre d'illustration, les enseignes de la grande distribution ayant des cartes de fidélité, les banques, les assurances, les entreprises de transport (via la géolocalisation des personnes utilisant des cartes de transport), les opérateurs de télécoms ou encore les entreprises utilisant le marketing comportemental grâce à l'analyse de la navigation sur le web sont concernés. Dans les entreprises où la désignation d'un DPO est obligatoire, il est essentiel de le faire rapidement afin qu'il puisse piloter le programme de mise en conformité et de préparation au RGPD. Quant aux entreprises qui ne sont pas directement concernées par l'obligation de désigner un DPO, elles devraient toutefois se pencher sérieusement sur la question dans la mesure où le DPO va devenir, à n'en pas douter, un standard du marché dans les années à venir. En effet, en matière de protection des données personnelles, il sera un élément clé de la construction d'une relation de confiance entre l'entreprise et ses salariés, ses clients et ses fournisseurs. Dans la mesure où le DPO sera un acteur de la construction de la confiance, et que sans confiance il n'y a pas de croissance, les entreprises ayant une stratégie digitale offensive et pas de DPO seront vraisemblablement questionnées par leurs parties prenantes sur les raisons de leur choix. Mais auront-elles encore véritablement le choix à ce moment-là ?
DATE-CHARGEMENT: 27 Septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
381 of 500 DOCUMENTS
Stratégies
28 septembre 2017
Edition 1;
National Edition
LE RGPD EST UNE CHANCE, SAISISSONS-LA !;
OPINIONS
AUTEUR: ARNAUD SCHMITE
RUBRIQUE: TRIBUNES; Pg. 40
LONGUEUR: 721 mots
DATA En mai prochain, le rÈglement général sur la protection des données [RGPD] entrera en vigueur dans l'ensemble de l'Union européenne. Il a notamment pour but de redonner aux citoyens le contrôle de leurs données personnelles.
S'adressant aux organisations et sociétés qui collectent, traitent et stockent des données à caractÈre personnel des résidents européens, le RGPD harmonise et renforce les droits de protection sur la donnée à caractÈre personnel. Le secteur de la communication croule sous les réglementations, c'est un fait. Si cette inclination réglementaire des pouvoirs publics est souvent décriée par des acteurs qui y préfÈrent le concept d'autorégulation, il nous revient de ne pas nous tromper de combat ! Le nouveau rÈglement européen sur la protection de la donnée à caractÈre personnel, qui entrera en vigueur le 25 mai 2018, est une chance. Il intervient dans un contexte économique et rÈglementaire particulier qui a parfois laissé le champ à l'installation de pratiques qui ont impacté la confiance dans l'économie numérique. Une remise à plat des rÈgles du jeu s'avÈre plus que jamais nécessaire. L'hyper-connectivité de nos sociétés a accéléré la production en masse de données. Pour la premiÈre fois en France, le média internet dépasse le média TV.
En moyenne, nous passons 4 heures par jour sur des écrans, et cela laisse des traces. Traces de différentes natures. Si certaines permettent une identification directe, à l'instar du nom, du prénom, ou encore de l'adresse, d'autres, via les «ID devices», participent à identifier nos centres d'intérêts ou le dernier achat réalisé en ligne, par exemple ; voire, elles peuvent, à l'aide d'algorithmes de plus en plus performants, prévoir nos futurs comportements. Ces données à caractÈre personnel sont au coeur de l'écosystÈme numérique, avec un enjeu de taille, celui de leur monétisation.
UN CONTEXTE GÉNÉRATEUR DE DÉFIANCE. L'exercice exige de se poser la question, avec pragmatisme et responsabilité, de leurs conditions de recueil et d'exploitation. Cette économie ne peut prospérer que sur la confiance des utilisateurs et consommateurs. Le contexte semble pourtant, à l'heure actuelle, d'abord générateur de défiance : des études chiffrent à 80 % la part de Français, et même 88 % des internautes américains, craignant un vol ou un détournement de leurs données.
Certains exemples, retentissants, leur donnent raison. En 2013, Yahoo ne s'était-il pas fait dérober pas moins de 1 milliard de comptes utilisateurs (nom, prénom, mot de passe) ? Quand, il y a seulement quelques mois, une cyberattaque affectait des dizaines de milliers d'ordinateurs dans une centaine de pays, et n'épargnait au passage ni un grand constructeur automobile français, ni le systÈme de santé anglais, ni le ministÈre de l'Intérieur en Russie. Si l'on ajoute à cela l'affaire Snowden, qui révéla, notamment, l'espionnage en masse des citoyens américains... Autant dire qu'il y a urgence ! Les conséquences sont absolument désastreuses. Et ce, évidemment, en termes de réputation, mais également et indéniablement d'un point de vue économique, financier et sécuritaire.
RÉTABLIR UN CERCLE VERTUEUX. Les textes antérieurs au RGPD avaient, certes, le mérite d'exister, mais présentaient d'importantes lacunes. La fragmentation des textes dans chaque État bloquait l'usage de rÈgles unifiées et sécurisées par les acteurs. Ces mêmes textes étaient, par ailleurs, fondamentalement tournés vers la responsabilité du détenteur de la donnée, occultant un principe fondamental à cette économie: l'échange de données entre différents acteurs. Il est grand temps que ces rÈgles intÈgrent plus les droits fondamentaux des internautes et des citoyens, ainsi que des rÈgles de sécurité adaptées en fonction des risques encourus. Mais aussi qu'elles cultivent un principe de responsabilité partagée pour l'ensemble des acteurs, et qu'elles appliquent concrÈtement des contraintes financiÈres suffisamment dissuasives pour inciter à leur bonne application.
Le challenge est de taille, et il est d'abord vital. Sans vigilance de notre part, et si nous n'oeuvrons pas au rétablissement d'un cercle vertueux qui placerait la confiance au centre de nos préoccupations et objectifs, nous prendrons collectivement de graves risques qui impacteront irrémédiablement la pérennité de ce marché. ?
DATE-CHARGEMENT: September 28, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
382 of 500 DOCUMENTS
Stratégies
28 septembre 2017
Edition 1;
National Edition
MARKETING CTRL-ALT-DEL;
MOBILIS IN MOBILE
AUTEUR: CYRIL VART
RUBRIQUE: CHRONIQUES; Pg. 41
LONGUEUR: 757 mots
Le 25 mai 2018, nous serons tous hors-laloi, et c'est une excellente nouvelle pour notre écosystÈme numérique. Le 25 mai 2018, le dragon de la publicité et de la donnée client sort de sa taniÈre, il s'appelle RGPD, et il sonne le glas de 20 ans (Google et Amazon ont commencé à nous observer pour nous aider à décider en 1998) d'utilisation de nos données et des technologies à des fins «marketing» sans grand encadrement ni repÈres. Et c'est une excellente nouvelle.
L'écosystÈme du marketing et de la publicité digitale va devoir opérer un « Ctrl-Alt-Del ». Toutes les données non sauvegardées seront perdues, la plupart des fichiers étaient déjà corrompus de toutes façons. Et c'est une excellente nouvelle.
Cette réglementation encadrant l'utilisation de nos données d'utilisateurs drainées de nos smartphones, ordinateurs portables, liseuses, montres, bons de commandes, visites aux magasins, erreurs de saisie et autres devis gratuits est pour une fois simplissime, et comprend deux volets : l'un technique, l'autre business. La premiÈre bonne nouvelle est sans doute que ce simple fait va forcer deux métiers qui souvent s'évitent à se parler, voire à collaborer, pour trouver une solution pratique et efficace qu'ils devront présenter à leur clients pour les garder. Une pratique qui nous ravit.
DES GAFA À L'OPEN SOURCE. L'aspect technique nous importe peu ici (quoique), mais notons que cette réglementation décrit un moyen technique efficace et standard pour protéger rigoureusement nos données, et minimiser les chances devoir nos noms, adresses et numéros de CB se retrouver dans les mains d'acheteurs indélicats de médicaments ou d'automobiles. Ce ne sera pas nécessairement facile à implémenter, mais certainement pas impossible ni compliqué. Les standards sont publiés et évidemment mis en oeuvre chez les Gafa depuis quelques mois, et les seules difficultés seront plus liées à la capacité des entreprises à accepter des solutions issues de l'open source plus que celles déjà en place des « grands des technologies ». Ce qui nous occupe est l'aspect commerçant: il sera interdit de capter, traiter, stocker et utiliser la donnée personnelle de quelque citoyen européen que ce soit sans lui demander explicitement la permission tout en lui expli-quant exactement pourquoi et pour qui, et si on change de pourquoi ou de pour qui, il faudra re-demander, explicitement. Et si une entreprise ou un intermédiaire ou sous-traitant technique ne respecte pas la loi, alors toutes les entreprises impliquées dans la chaîne allant du client au serveur seront sanctionnables pour un montant pouvant aller jusqu'à 4% de leur chiffre d'affaires mondial. Et c'est une excellente nouvelle, à minima pour les consommateurs que nous sommes.
RETROUVER L'ÉLÉGANCE. Soyons francs, on (l'écosystÈme des marketeurs digitaux) a un peu déconné. L'inéluctable progrÈs des technologies de l'information nous met à disposition les outils de capture, de traitement et de stockage de données les plus puissants et les moins coûteux que l'humanité ait jamais possédés, capables d'analyser notre génome tout en trouvant quelques milliers de planÈtes habitables sur des milliards de galaxies, et nous l'utilisons pour harceler nos clients en leurs envoyant prÈs de 500 messages différents par mois sous prétexte qu'ils se promÈnent à moins de 5 minutes d'une boutique où ils n'ont jamais mis les pieds pour y acheter quelque chose qu'ils ont probablement déjà... On nous offre la nano-neuro-chirurgie, et on ré-invente les électrochocs et les douches froides pour tous les patients.
Les adblocks, la méfiance qui multiplie les adresses écran genre toto25@yahoo.com (le seul usage de Yahoo...) dans nos bases clients, une génération « sans Marques ni Logos », la performance des expériences belles et précises face à des rayons de plus en plus larges et génériques, le déluge quotidien de nos boites à spam... C'était dans l'air et cet acronyme à 4 lettres ne fait qu'entériner ce que nous savions déjà : il va falloir réinventer nos pratiques, améliorer notre pertinence, retrouver l'élégance du commerce et oublier l'Ère de la réclame.
Soyons optimistes : une fois nos bases remplies de consommateurs volontaires, convaincus et intéressés par nos belles offres, il ne nous restera qu'à retrouver notre sens du commerce, de l'hospitalité, du produit et du client, boosté par des technologies désormais maîtrisées et utiles. Et c'est une excellente nouvelle. ?
RETROUVEZ NOS CHRONIQUEURS SUR STRATÉGIES.FR
« Le dragon de la publicité et de la donnée client sort de sa taniÈre. »
DATE-CHARGEMENT: September 28, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
383 of 500 DOCUMENTS
La Tribune.fr
Mercredi 27 Septembre 2017 10:54 AM CET
Données personnelles : le DPO, nouvel acteur de la confiance numérique ?
AUTEUR: Yann Padova
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 741 mots
ENCART: A quelques mois de l entrée en vigueur du Règlement européen sur les données personnelles (RGPD), les entreprises préparent activement leur mise en conformité avec ce texte. L un des enjeux majeurs est de savoir si elles doivent, ou non, se doter d un Data Protection Officer (DPO). Selon certaines estimations, plus de 25.000 postes de DPO pourraient être créés en France par le Règlement. Par Yann Padova, Partner chez Baker McKenzie
Le rôle du DPO est intimement lié à la logique profonde du Règlement : la fin du contrôle a priori (« déclarations ») par les autorités de protection des données (la CNIL en France) en contrepartie de l'obligation pour les entreprises d'incorporer dans leur organisation et dans leurs processus mêmes, la protection des données. Le maître-mot pour les entreprises sera donc d'être en mesure de « démontrer » qu'elles sont conformes. Un rôle polyvalent, transversal et stratégique Le DPO est le véritable « chef d'orchestre » de cette nouvelle mission de « démonstration de la conformité ». Sur le plan opérationnel, il a pour missions d'informer et de conseiller le responsable de traitement (l'entreprise qui met en uvre le fichier) mais aussi les salariés qui procèdent au traitement de données, sur leurs obligations. Il doit également contrôler la bonne mise en uvre du Règlement, les formations, les audits, la conduite d'une étude d'impact lorsqu'elle est obligatoire.
Enfin, le DPO coopère avec les autorités de protection des données : il est le point de contact au sein de l'entreprise. Dans ce cadre, il doit agir en toute indépendance et rapporter « au plus haut niveau de l'entreprise », donc au niveau stratégique. Pour mener à bien ses trois missions, le DPO doit posséder un certain nombre de compétences dont certaines figurent dans le Règlement. De solides connaissances juridiques et une bonne compréhension du Règlement sont requises. Il doit également être un fin connaisseur de l'entreprise, de son c ur de métier et être proche des opérationnels afin que ses conseils soient pertinents et adaptés aux problématiques concrètes rencontrées. Il doit enfin être un bon communiquant dans la mesure où il rapporte au comité exécutif et doit « évangéliser » en interne, voire former les autres salariés. Toutes ces compétences font qu'il n'existe pas de profil type du DPO : aujourd'hui dans 40% des cas les DPO sont des juristes, dans 30% ils ont un profil technique (SI) et pour les 30% restant un profil administratif. Au-delà de ses compétences, la formation et les moyens qui seront alloués au DPO demeurent, bien entendu, essentiels. À défaut, il ne sera pas en mesure de remplir pleinement ses missions ce qui pourrait présenter un risque pour l'entreprise. Le DPO, un futur « standard » pour les entreprises ? Selon le RGPD, la désignation d'un DPO est obligatoire pour les autorités publiques ou si l'entreprise traite des données « sensibles » à grande échelle telles que des données de santé ou encore « si les activités de base de l'entreprise, du fait de leur nature, de leur portée ou de leur finalité, exigent un suivi régulier et systématique à grande échelle des personnes ». Ce dernier point étant sujet à interprétation, le groupe des CNIL européennes a publié une recommandation en avril 2017 l'explicitant : les entreprises concernées sont celles dont le c ur de l'activité et les traitements portent sur un grand nombre de personnes ou celles qui procèdent au suivi régulier des personnes dans l'espace et le temps. À titre d'illustration, les enseignes de la grande distribution ayant des cartes de fidélité, les banques, les assurances, les entreprises de transport (via la géolocalisation des personnes utilisant des cartes de transport), les opérateurs de télécoms ou encore les entreprises utilisant le marketing comportemental grâce à l'analyse de la navigation sur le web sont concernés. Dans les entreprises où la désignation d'un DPO est obligatoire, il est essentiel de le faire rapidement afin qu'il puisse piloter le programme de mise en conformité et de préparation au RGPD. Quant aux entreprises qui ne sont pas directement concernées par l'obligation de désigner un DPO, elles devraient toutefois se pencher sérieusement sur la question dans la mesure où le DPO va devenir, à n'en pas douter, un standard du marché dans les années à venir. En effet, en matière de protection des données personnelles, il sera un élément clé de la construction d'une relation de confiance entre l'entreprise et ses salariés, ses clients et ses fournisseurs. Dans la mesure où le DPO sera un acteur de la construction de la confiance, et que sans confiance il n'y a pas de croissance, les entreprises ayant une stratégie digitale offensive et pas de DPO seront vraisemblablement questionnées par leurs parties prenantes sur les raisons de leur choix. Mais auront-elles encore véritablement le choix à ce moment-là ?
DATE-CHARGEMENT: 27 Septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
384 of 500 DOCUMENTS
Le Figaro Online
mercredi 27 septembre 2017 12:48 PM GMT
Isabelle Falque-Pierrotin va coordonner les Cnil mondiales
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 672 mots
ENCART: L'élection de la présidente de la Commission nationale Informatique et Liberté (CNIL) a la tête de la conférence mondiale des autorités de protection de données est un symbole fort du rôle que prend l'Europe dans ce domaine.
C'est un symbole fort du rôle que prend l'Europe dans la protection des données personnelles. La présidente de la Commission nationale Informatique et Liberté (Cnil) et du G29 (le groupe des Cnil européennes) Isabelle Falque-Pierrotin a été élue à la présidence de la conférence mondiale des autorités de protection de données (ICDPPC). Cette réunion des Cnil mondiales, qui se tient en ce moment même à Hong Kong, a lieu chaque année depuis 39 ans pour réfléchir et proposer des approches communes autour de la régulation des pratiques d'exploitation des données. C'est notamment lors de l'ICDPPC de 2016 qu'a été établi un référentiel commun autour des données liées à l'Éducation, actuellement étudié par la Commission européenne en vue d'établir de nouvelles règles. Élue pour un an, Isabelle Falque Pierrotin aura des missions de représentation et coordination entre les différentes instances qui s'occupent d'établir les normes qui protègent la vie privée des citoyens. Elle succède au président de la Cnil néo-zélandaise.
L'approche européenne confortée
Cette nomination s'inscrit dans un contexte particulier, alors que l'économie numérique est en pleine reconfiguration. L'Europe a en effet entrepris un imposant chantier législatifpour réguler un secteur qui pèse plusieurs milliards de milliards d'euros et a vu naître des géants comme Google, Amazon, ou Facebook. D'ici à un an, le nouveau règlement pour la protection des données personnelles (RGPD) imposera des conditions strictes à toute entreprise traitant les données personnelles d'un citoyen européen, fut-elle basée en Chine ou aux États-Unis, multinationale ou PME. Ce texte central a fait l'objet du plus intense lobbying de l'histoire de la Commission européenne. Les GAFA mais aussi les entreprises du secteur publicitairemettent actuellement les bouchées doublespour se mettre en conformité avec le RGPD.
L'exécutif européen planche également sur une révision dela directive ePrivacy, qui ajoutera une surcouche de conditions d'utilisation des données sensibles. Début septembre, la commission a également présenté un texte sanctuarisant le principe de libre circulation des données non personnelles à l'échelle européenne. S'il doit encore passer le cap du parlement et du Conseil, ce texte ajoute une nouvelle brique à l'ambition européenne de devenir un marché de la donnée plus structuré et, surtout, régulé.
Condition d'accès au marché européen
Dans le même temps, la politique des États-Unis sur la protection des données personnelles s'est plus qu'assouplie. Les opérateurs ont désormais unetrès grande latitude pour exploiter les données personnelles de leurs clients: les fournisseurs d'accès Internet, comme Comcast, Verizon, AT&T ou Charter, peuvent vendre les données personnelles de leurs clients, sans leur autorisation. Les historiques de navigation peuvent également être cédés aux plus offrants, qui peuvent à loisir cibler leurs messages publicitaires.
À un niveau plus conceptuel, l'Europe et les États-Unis s'opposent fondamentalement sur la conception de vie privée. «Le droit américain rattache la privacy (vie privée) à la propriété, alors que l'Europe en fait un droit de la personne. Autrement dit, la vie privée n'est qu'une extension de la propriété privée et est dans le commerce, quand elle est en Europe, non négociable et non cessible», explique l'avocat Olivier Itéanu dans son ouvrage Quand le digital défie l'État de droit (Eyrolles, 2016). L'élection d'une personnalité représentant aussi fortement l'approche européenne à Hong Kong, où s'est caché Edward Snowdenaprès avoir révélé le scandale de la surveillance de masse des services secrets américains, revêt à ce titre un caractère singulier.
La protection des données personnelles n'est toutefois pas qu'un débat autour des libertés fondamentales: elle est aussi un moyen de peser sur l'économie mondiale. De nombreux pays,États-Unis compris, tâchent ainsi de se plier aux règles que l'Europe impose comme condition d'accès à un marché de près de 500 millions de citoyens.
DATE-CHARGEMENT: 27 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
385 of 500 DOCUMENTS
Le Figaro
Mercredi 27 Septembre 2017
Les agences se préparent au big bang des données personnelles;
Avec la nouvelle réglementation, elles espèrent un rééquilibrage avec les plateformes américaines.
AUTEUR: Debouté, Alexandre
RUBRIQUE: MÉDIAS; Pg. 26 N° 22746
LONGUEUR: 654 words
INTERNET
Il reste huit mois aux entreprises européennes pour se mettre en conformité avec le règlement général sur la protection des données personnelles (RGPD), applicable le 25 mai 2018. Huit mois au cours desquels elles devront se doter d'un délégué à la protection des données, mais aussi reprendre en main les flux de données qu'elles confient à des prestataires, notamment les agences. Après avoir crié au loup, s'alarmant des conséquences de la nouvelle législation, ces dernières veulent tourner la situation à leur avantage.
Les agences ne se voilent pas la face : le poids de la data dans leur business est devenu écrasant. La communication étant désormais majoritairement digitale, le premier métier des publicitaires passe par la connaissance des clients de leurs clients... C'est tout l'enjeu pour les agences : redonner de la plus-value à leur intervention, en accompagnant les annonceurs dans le volet organisationnel imposé par le RGPD, sans perdre la main sur l'exploitation de leurs précieuses données à des fins marketing.
Le RGPD étend la notion de données personnelles à des informations qui étaient jusqu'ici anonymisées et exploitées sans l'assentiment réel du consommateur : ses identifiants en ligne, ses cookies et données de localisation, les éléments indicatifs sur son identité économique, culturelle ou sociale. Cela change tout pour les intermédiaires de la publicité qui exploitent ces données pour cibler. Avec le nouveau règlement, celles-ci devront faire l'objet du même traitement que les données les plus personnelles (nom, adresse, numéro de téléphone).
« C'est un vrai cauchemar pour l'écosystème du marketing et de la communication digitale, admet Yan Claeyssen, directeur général de Publicis ETO, l'entité de Publicis spécialisée dans la data. Avec la directive e-privacy, le RGPD va imposer tout un arsenal d'obligations et de restrictions. Certains dispositifs vont devenir très complexes voire impossibles, ce qui met en danger le business model de sociétés de médias et d'e-commerce. Mais on peut envisager ce nouveau cadre comme une chance. »
Clauses d'audit
Pour ce pionnier du marketing relationnel, très familier de l'exploitation de données, le RGPD doit être envisagé comme un « levier qui obligera l'écosystème à prendre en compte les attentes et les craintes des consommateurs », et du même coup contraindra les professionnels à innover, selon lui. Neuf Français sur dix sont préoccupés par la protection de leurs données. Yan Claeyssen estime qu'en demandant un consentement explicite aux consommateurs pour les utiliser, on pourra les inciter à le faire en leur expliquant que cet usage servira à leur proposer des offres à valeur ajoutée (promotions, services variés). « Le recueil de données devient alors légitime, car il a du sens pour les deux parties. »
Chez Havas aussi, le RGPD est envisagé comme une opportunité. Sa filiale DBi, pure player de l'intelligence data, et son logiciel de « privacy management » proposent aux entreprises de les accompagner jusqu'en mai 2018 et au-delà. « Le nouveau règlement va permettre par exemple de nettoyer les données en se recentrant sur celles utiles en marketing », indique Christopher Caussin, à la tête de DBi. 20 % des tags conservés seraient obsolètes...
Autre aspect qui réjouit les publicitaires : le RGPD pourrait bien amorcer un rééquilibrage des forces avec les Gafa. Les sous-traitants des données, qu'il s'agisse des agences mais aussi des plateformes, comme Facebook ou Google, qui sont les premiers exploitants de données, devront montrer patte blanche. « Les clauses d'audit, qui les obligeraient à ouvrir leurs registres de données, provoquent quelques secousses. Google et Facebook sont réticents... », souligne Arnaud Schmite, secrétaire général d'Havas Media France. Le contrôle des transferts des données vers les États-Unis pourrait aussi fournir un nouveau levier politique aux organes européens de contrôle.
DATE-CHARGEMENT: 26 Septembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: businessman with laptop in network server room
Les entreprises européennes ont huit mois pour se doter d'un délégué à la protection des données (ici, un centre de stockage).
WWW.SHOCK.CO.BA/.shock - stock.adobe.com/Fotolia
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
386 of 500 DOCUMENTS
Le Figaro Économie
Mercredi 27 Septembre 2017
Les agences se préparent au big bang des données personnelles
AUTEUR: Debouté, Alexandre
RUBRIQUE: MÉDIAS; Pg. 26 N° 22746
LONGUEUR: 654 mots
INTERNET Il reste huit mois aux entreprises européennes pour se mettre en conformité avec le règlement général sur la protection des données personnelles (RGPD), applicable le 25 mai 2018. Huit mois au cours desquels elles devront se doter d'un délégué à la protection des données, mais aussi reprendre en main les flux de données qu'elles confient à des prestataires, notamment les agences. Après avoir crié au loup, s'alarmant des conséquences de la nouvelle législation, ces dernières veulent tourner la situation à leur avantage.Les agences ne se voilent pas la face : le poids de la data dans leur business est devenu écrasant. La communication étant désormais majoritairement digitale, le premier métier des publicitaires passe par la connaissance des clients de leurs clients... C'est tout l'enjeu pour les agences : redonner de la plus-value à leur intervention, en accompagnant les annonceurs dans le volet organisationnel imposé par le RGPD, sans perdre la main sur l'exploitation de leurs précieuses données à des fins marketing.Le RGPD étend la notion de données personnelles à des informations qui étaient jusqu'ici anonymisées et exploitées sans l'assentiment réel du consommateur : ses identifiants en ligne, ses cookies et données de localisation, les éléments indicatifs sur son identité économique, culturelle ou sociale. Cela change tout pour les intermédiaires de la publicité qui exploitent ces données pour cibler.
Avec le nouveau règlement, celles-ci devront faire l'objet du même traitement que les données les plus personnelles (nom, adresse, numéro de téléphone).« C'est un vrai cauchemar pour l'écosystème du marketing et de la communication digitale, admet Yan Claeyssen, directeur général de Publicis ETO, l'entité de Publicis spécialisée dans la data. Avec la directive e-privacy, le RGPD va imposer tout un arsenal d'obligations et de restrictions. Certains dispositifs vont devenir très complexes voire impossibles, ce qui met en danger le business model de sociétés de médias et d'e-commerce. Mais on peut envisager ce nouveau cadre comme une chance. »
Clauses d'audit
Pour ce pionnier du marketing relationnel, très familier de l'exploitation de données, le RGPD doit être envisagé comme un « levier qui obligera l'écosystème à prendre en compte les attentes et les craintes des consommateurs », et du même coup contraindra les professionnels à innover, selon lui. Neuf Français sur dix sont préoccupés par la protection de leurs données. Yan Claeyssen estime qu'en demandant un consentement explicite aux consommateurs pour les utiliser, on pourra les inciter à le faire en leur expliquant que cet usage servira à leur proposer des offres à valeur ajoutée (promotions, services variés). « Le recueil de données devient alors légitime, car il a du sens pour les deux parties. »Chez Havas aussi, le RGPD est envisagé comme une opportunité. Sa filiale DBi, pure player de l'intelligence data, et son logiciel de « privacy management » proposent aux entreprises de les accompagner jusqu'en mai 2018 et au-delà. « Le nouveau règlement va permettre par exemple de nettoyer les données en se recentrant sur celles utiles en marketing », indique Christopher Caussin, à la tête de DBi. 20 % des tags conservés seraient obsolètes...Autre aspect qui réjouit les publicitaires : le RGPD pourrait bien amorcer un rééquilibrage des forces avec les Gafa. Les sous-traitants des données, qu'il s'agisse des agences mais aussi des plateformes, comme Facebook ou Google, qui sont les premiers exploitants de données, devront montrer patte blanche. « Les clauses d'audit, qui les obligeraient à ouvrir leurs registres de données, provoquent quelques secousses. Google et Facebook sont réticents... », souligne Arnaud Schmite, secrétaire général d'Havas Media France. Le contrôle des transferts des données vers les États-Unis pourrait aussi fournir un nouveau levier politique aux organes européens de contrôle.
DATE-CHARGEMENT: 26 Septembre 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: businessman with laptop in network server room
Les entreprises européennes ont huit mois pour se doter d'un délégué à la protection des données (ici, un centre de stockage).
WWW.SHOCK.CO.BA/.shock - stock.adobe.com/Fotolia
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
387 of 500 DOCUMENTS
African Manager (French Language)
Mardi 26 Septembre 2017
"Tonton Flingueur", Chawki Gaddes balance....
LONGUEUR: 1700 mots
Le professeur de droit constitutionnel et président de l'Instance nationale de protection des données personnelles (INPDP), Chawki Gaddes, a accordé à Africanmanager une interview exclusive où il a évoqué plusieurs points importants dont le nouveau projet de loi sur la protection des données personnelles, l'ensemble des sanctions prévues dans le cadre de cette nouvelle loi, les dépassements et les infractions relevées par l'instance ainsi que les parties qui sont y impliquées...
La Tunisie est en train de mettre en place une nouvelle loi sur la protection des données personnelles, où en est-on actuellement ?
On fait évoluer notre cadre juridique pour qu'il soit conforme aux normes européennes et aux normes de protection sur le plan international. Il était donc nécessaire de faire progresser la loi organique numéro 63 du 27 juillet 2004 relative à la protection des données personnelles. Cette loi souffrait de lacunes et défaillances qui rendent certaines dispositions obsolètes et inapplicables.
Le nouveau projet de loi se veut conforme aux dispositions de la Convention 108 du Conseil de l'Europe sur la protection des données personnelles mais aussi du nouveau Règlement général européen en la matière qui devrait entrer en vigueur en mai 2018. La Tunisie a déposé en juillet dernier les instruments de ratification de la convention auprès du conseil de l'Europe et nous deviendrons membre le premier novembre prochain.
Quelles sont les principales caractéristiques de cette loi européenne et leur impact sur la législation nationale ?
Ce règlement général européen est, contrairement à la convention 108 (elle n'est obligatoire que pour les États qui la ratifient), une loi générale approuvée par le Conseil et le Parlement européens. Cette nouvelle loi entrera en vigueur en mai 2018 dans tous les États sans qu'il soit nécessaire d'en faire une loi nationale. À partir de cette date, les lois nationales des États protégeant les données personnelles seront remplacées par le RGPD.
À partir de mai 2018, la norme de protection des données personnelles sera le règlement européen et plus la convention 108. Et c'est pour cela qu'on a dit qu'il est aujourd'hui nécessaire de faire évoluer la loi tunisienne pour qu'elle soit conforme à ce règlement.
Il n'était dans cette situation plus possible de réviser la loi nationale, trop lointaine des normes internationales actuelles. La seule solution était de concevoir un nouveau projet de loi qui se conformerait au contenu du règlement européen.
Quel rôle aura l'instance dans ce sens ?
Dans tous les pays du monde, l'instance de protection jouit d'une indépendance nécessaire à son action ; elle autorise les traitements des données, contrôle, réglemente et se transforme en un tribunal en cas de dépassement ou de transgression de la loi. Elle joue ces rôles car elle est spécialiste en la matière.
Toutes les instances sont libres et indépendantes dans leur action, elles appliquent la loi et sanctionnent les violations, comme des tribunaux. C'est dans ce dessin que sera créé au sein de l'instance un comité des sanctions qui sera présidé par un magistrat et qui sera tenue de respecter les droits de la défense.
Il est vrai que le montant des sanctions financières a paru trop important pour les structures consultées. En effet il peut aller jusqu'à 4% du chiffre d'affaires de l'exercice précédant. Mais ce n'est pas notre invention, c'est ce que le RGPD institue. Les autorités européenne ont appris pendant ces trente dernières années que la seule manière de faire respecter les normes dans le domaine de la protection des données par les entreprises de plus en plus omnipotentes sur le plan économique c'est de taper fort. Regardez la dernière sanction de l'autorité espagnole contre Google vous comprendrez.
Dans tous les cas les 4% sont une limite maximale et qui reste modulable suivant la gravité de la violation constatée..
L'instance a déposé des plaintes entre autres contre cinq cliniques privées. Où en est-on dans ces dossiers ?
L'instance transmet continuellement des dossiers au Procureur de la République. L'article 77 de la loi de 2004 lui impose de le faire chaque fois qu'elle constate une violation des normes de protection.
Dans ce cadre, elle a transmis, en juin 2016, 15 dossiers très importants sur des structures publiques et privées récalcitrantes. Ce sont entre autre les caisses sociales (CNRPS et CNSS ) mais aussi des cliniques et un hôpital régional, sans oublier la STEG. Les requêtes ont été transmises à la Garde nationale pour mener les investigations. Pourtant leur traitement n'imposait pas cette procédure. En effet, les responsables du traitement des données personnelles doivent accomplir les procédures préalables obligatoires devant l'instance. Ces structures refusent de le faire, l'instance atteste de l'absence de procédure, la violation est ainsi consommée et constatée, il n'y a plus de raison d'enquêter. Les dossiers auraient dû être très transmis depuis juin 2016 pour jugement. La garde nationale ne répondra pas au procureur avant deux années !!! Pendant lesquelles ces structures continueront de violer en toute impunité la loi.
A présent les choses vont plus vite avec le procureur de la République ?
Oui c'est de plus en plus fluide. On a transmis dernièrement le dossier d'une société de service informatique qui mettait en vente une base de données de citoyens avec leurs noms et prénoms et leurs numéros de téléphone. Le dirigeant de la société faisait cette annonce sur sa page LinkedIn et s'enorgueillit du fait que c'était la base de Tayara.tn !!!
On a envoyé des dossiers à plusieurs autres procureurs qui ont eu une démarche rapide en transférant le dossier pour jugement. C'est le cas de Sfax ou dernièrement le Kef.
D'autres structures ont rapidement régularisé leurs situations et leurs dossiers ont été classés auprès du procureur qui avait été saisi : c'est le cas de la CNAM, de Tunisair ou de TLS contact...
Quelles sont les décisions qui peuvent être prises à l'encontre des personnes violant la loi ?
Selon l'article 90, le premier dirigeant de ces institutions risque un mois de prison et une amende de 5 mille dinars. C'est vrai qu'il est difficile de mettre des PDG en prison mais le juge trouvera sûrement le moyen de moduler la sanction. En dire plus que cela serait une immixtion dans le travail de la justice. Par contre on rappellera que l'article 53 du code pénal est une loi ordinaire et générale alors que l'article 90 est une loi organique et spéciale. Donc les juges devraient lui donner la priorité. Et là plus de doute : la sanction fera mal et servira d'exemple aux récalcitrants. C'est la démarche à suivre dans un État qui se veut de droit.
Vous recevez beaucoup de plaintes ?
Oui de plus en plus, mais le problème est qu'on n'a pas les moyens humains pour les traiter. Nous sommes trois personnes à l'instance pour traiter ces dossiers. On n'a ni des compétences ni des agents assermentés.
La majorité des plaintes portent sur la vidéo surveillance, des SMS ou des données personnelles transmises à la justice d'une manière illégale. Dernièrement on a eu à statuer sur un opérateur d'hébergement de données qui transférait des données en dehors du territoire national sans avoir le consentement des clients et sans l'autorisation de l'instance. Le dossier nous a été renvoyé par le procureur, il demandait que le plaignant dépose sa plainte directement auprès du tribunal !!!
Aujourd'hui, aucune décision de justice sanctionnant des dépassements dans la protection des données personnelles n'a été rendue.
Vous ne pensez pas que la sanction de 4% du chiffre d'affaires d'une entreprise est disproportionnée ?
Oui, mais on s'est rendu compte à travers le monde qu'il y avait énormément de bénéfices générés par le traitement des données personnelles au profit des entreprises.
C'est pour cela que chaque entrepreneur violant la loi doit payer des sommes qui font mal et seraient dissuasives. L'objectif n'est pas la sanction en soi mais que celui qui traite les données personnelles soit responsable car une amende de 4% peut mener à la faillite.
Quant est-ce que le projet de loi sera approuvé ?
Le 12 octobre prochain un workshop sur le projet aura lieu pour faire les derniers réglages sur le nouveau projet de loi. Il devra par la suite, fin octobre, être soumis à un conseil ministériel pour passer en novembre à l'ARP. Avec cette loi, la Tunisie sera le premier pays arabe ayant une loi conforme aux normes européennes. Cette action aidera à faire de la Tunisie une plate-forme de services aussi bien pour l'Afrique que l'Europe, c'est ma conviction profonde.
À l'échelle nationale, les gens commencent à parler de la protection des données personnelles. Beaucoup de plaintes sont reçues par l'instance dans ce sens. Le processus pour rendre cette loi plus effective bloque aux portes de la justice. Mais la concertation permettra avec le temps de dépasser ce blocage.
Vous êtes satisfait du budget alloué à l'instance ?
On ne peut pas demander un budget alors qu'on n'a pas les moyens humains pour le dépenser. L'argent sert à réaliser des actions. Pour cela il faut du personnel. L'instance n'en a pas, on n'est que trois pour gérer les affaires de l'instance.
On n'est jamais arrivé durant les six premières années de gestion à dépenser plus de 50% du budget alloué à l'instance. Le reste est reporté d'une année à l'autre. C'est inutile d'en demander encore plus alors qu'on n'a pas les moyens pour réaliser des actions.
Pour donner un exemple. On devait réaliser un site web, on n'a pas les compétences pour cela, donc c'est le président qui a réalisé le cahier de charge, c'est lui et l'agent comptable avec le secrétaire général qui ont dépouillé les offres. C'est le président qui travaille avec la société pour la réalisation du site aussi bien au niveau de la forme que du contenu. Une fois le site en ligne, le président sera le webmaster.
Est-ce normal ? Bien sûr que non... C'est pour cela que l'on demande les fonds que l'on peut consommer en restant convaincus que l'Etat ne peut aller plus loin au vu de sa situation financière et que les instances indépendantes doivent trouver la voie vers les ressources propres de nature à leur donner plus d'indépendance
DATE-CHARGEMENT: 26 Septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Web Publication
CODE-REVUE: 715
Copyright 2017 AFRICAN MANAGER
Provided by Syndigate Media Inc.
Tous droits réservés
388 of 500 DOCUMENTS
Le Figaro Online
mardi 26 septembre 2017 07:47 PM GMT
Les agences se préparent au big bang des données personnelles
AUTEUR: Alexandre Debouté; adeboute@lefigaro.fr
RUBRIQUE: MÉDIAS; Actu-Eco; Médias & Publicité
LONGUEUR: 858 mots
ORIGINE-DEPECHE: France
ENCART: Avec la nouvelle réglementation, elles espèrent un rééquilibrage avec les plateformes américaines.
Il reste huit mois aux entreprises européennes pour se mettre en conformité avec le règlement général sur la protection des données personnelles (RGPD), applicable le 25 mai 2018. Huit mois au cours desquels elles devront se doter d'un délégué à la protection des données, mais aussi reprendre en main les flux de données qu'elles confient à des prestataires, notamment les agences. Après avoir crié au loup, s'alarmant des conséquences de la nouvelle législation, ces dernières veulent tourner la situation à leur avantage.
Les agences ne se voilent pas la face: le poids de la data dans leur business est devenu écrasant. La communication étant désormais majoritairement digitale, le premier métier des publicitaires passe par la connaissance des clients de leurs clients... C'est tout l'enjeu pour les agences: redonner de la plus-value à leur intervention, en accompagnant les annonceurs dans le volet organisationnel imposé par le RGPD, sans perdre la main sur l'exploitation de leurs précieuses données à des fins marketing.
Le RGPD étend la notion de données personnelles à des informations qui étaient jusqu'ici anonymisées et exploitées sans l'assentiment réel du consommateur: ses identifiants en ligne, ses cookies et données de localisation, les éléments indicatifs sur son identité économique, culturelle ou sociale. Cela change tout pour les intermédiaires de la publicité qui exploitent ces données pour cibler. Avec le nouveau règlement, celles-ci devront faire l'objet du même traitement que les données les plus personnelles (nom, adresse, numéro de téléphone).
«C'est un vrai cauchemar pour l'écosystème du marketing et de la communication digitale, admet Yan Claeyssen, directeur général de Publicis ETO, l'entité de Publicis spécialisée dans la data. Avec la directive e-privacy, le RGPD va imposer tout un arsenal d'obligations et de restrictions. Certains dispositifs vont devenir très complexes voire impossibles, ce qui met en danger le business model de sociétés de médias et d'e-commerce. Mais on peut envisager ce nouveau cadre comme une chance.»
Clauses d'audit
Pour ce pionnier du marketing relationnel, très familier de l'exploitation de données, le RGPD doit être envisagé comme un «levier qui obligera l'écosystème à prendre en compte les attentes et les craintes des consommateurs», et du même coup contraindra les professionnels à innover, selon lui. Neuf Français sur dix sont préoccupés par la protection de leurs données. Yan Claeyssen estime qu'en demandant un consentement explicite aux consommateurs pour les utiliser, on pourra les inciter à le faire en leur expliquant que cet usage servira à leur proposer des offres à valeur ajoutée (promotions, services variés). «Le recueil de données devient alors légitime, car il a du sens pour les deux parties.»
Chez Havas aussi, le RGPD est envisagé comme une opportunité. Sa filiale DBi, pure player de l'intelligence data, et son logiciel de «privacy management» proposent aux entreprises de les accompagner jusqu'en mai 2018 et au-delà. «Le nouveau règlement va permettre par exemple de nettoyer les données en se recentrant sur celles utiles en marketing», indique Christopher Caussin, à la tête de DBi. 20 % des tags conservés seraient obsolètes...
Autre aspect qui réjouit les publicitaires: le RGPD pourrait bien amorcer un rééquilibrage des forces avec les Gafa. Les sous-traitants des données, qu'il s'agisse des agences mais aussi des plateformes, comme Facebook ou Google, qui sont les premiers exploitants de données, devront montrer patte blanche. «Les clauses d'audit, qui les obligeraient à ouvrir leurs registres de données, provoquent quelques secousses. Google et Facebook sont réticents...», souligne Arnaud Schmite, secrétaire général d'Havas Media France. Le contrôle des transferts des données vers les États-Unis pourrait aussi fournir un nouveau levier politique aux organes européens de contrôle.
La France prend du retard sur la loi Cnil II
Les entreprises ne sont pas les seules à devoir se mettre en conformité avec le règlement général sur la protection des données (RGPD). Le texte européen comporte pas moins de 57 renvois au droit national, et implique donc que chaque État membre procède à des ajustements de la loi. Sinon, le règlement ne pourra être appliqué pleinement. En France, la loi informatique et liberté doit être mise à jour.
Isabelle Falque Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (Cnil), a alerté sur l'urgence d'un tel enjeu dès le mois de mars. «Pour être pleinement opérationnels en mai 2018, nous aurons besoin d'une loi Cnil II, qui doit rabouter d'une certaine manière le texte européen aux dispositions nationales utiles. Cela nécessite qu'un texte soit déposé en Conseil des ministres, probablement avant l'été.»
Calendrier électoral oblige, la sortie du texte a d'abord été repoussée à septembre. Les changements de postes au ministère de l'Intérieur et l'adoption de la loi confiance cet été ont encore reporté l'examen de la loi Cnil II à l'Assemblée à la mi-décembre. Le planning est serré mais reste néanmoins tenable, affirme le cabinet du ministre de la Justice.
DATE-CHARGEMENT: 26 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
389 of 500 DOCUMENTS
Les Echos Executives
lundi 25 septembre 2017
Cyberattaques : les dirigeants face à leurs responsabilités
AUTEUR: VALERIE LAFARGE-SARKOZY
RUBRIQUE: CHRONIQUE; Pg. 7 N°. 22536
LONGUEUR: 501 mots
Nul ne peut plus l'ignorer : la transformation numérique offre aux entreprises un formidable levier de croissance en même temps qu'elle induit une prolifération de nouveaux risques aux conséquences économiques, juridiques et réputationnelles majeurs.
Les attaques récentes, telles que WannaCry et NotPetya, sont autant de manifestations de la menace que fait peser le risque cyber sur les entreprises. Elles mettent en exergue la nécessité pour celles-ci, et ce quelle que soit leur taille ou leur activité, d'adapter continuellement leur niveau de protection afin de limiter la vulnérabilité de leurs systèmes d'information.
Si des failles de sécurité rendues publiques nuisent nécessairement à l'entreprise, comme l'a démontré l'affaire Yahoo!/Verizon (pour rappel, le vol de millions de données à Yahoo! avait conduit Verizon à réduire son offre de rachat de ses activités Internet de 350 millions d'euros), des politiques cyber éprouvées se révèlent être, a contrario, de réels éléments de valorisation de l'entreprise, notamment dans la réalisation d'une opération de M&A.
Ce besoin de cybersécurité se fait, par ailleurs, d'autant plus pressant que l'absence de mise en conformité avec les obligations bientôt imposées par le èglement général sur la protection des données à caractère personnel (le RGPD) et la directive sur la sécurité des réseaux et des systèmes d'information (directive NIS) pourra s'avérer particulièrement coûteuse. Les politiques de cybersécurité mises en place n'en seront que davantage scrutées et analysées.
Les entreprises qui seront jugées responsables d'atteintes à la sécurité des données personnelles s'exposeront à des sanctions pécuniaires pouvant atteindre 10 millions d'euros ou 4 % du chiffre d'affaires annuel. En outre, la généralisation des obligations de notification en cas de faille de sécurité - et notamment l'introduction de l'obligation d'informer les tiers d'une violation de données les concernant - entraînera nécessairement des conséquences financières et réputationnelles.
Les tiers victimes qui auront eu connaissance de cette violation par le biais de cette notification pourront, en outre, mettre en cause la responsabilité de l'entreprise victime de l'attaque pour demander la réparation de leur préjudice.
Par ailleurs, les cyberattaques sont par nature susceptibles de causer des dommages en cascade à la « supply chain ». Les cocontractants pourront alors se prévaloir de possibles manquements aux nouvelles obligations mises à la charge du responsable de traitement et du sous-traitant pour rechercher la responsabilité contractuelle de l'entreprise.
Les dirigeants ne peuvent plus, par conséquent, ignorer l'urgence de doter leurs entreprises d'une politique de cybersécurité efficace, efficiente et respectueuse de l'impératif de protection des données.
Ne pas le faire pourrait être constitutif d'une faute de gestion engageant leur responsabilité si un tel manquement impactait significativement les résultats, voire la pérennité de la société.
DATE-CHARGEMENT: 25 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
390 of 500 DOCUMENTS
Les Echos Executives
lundi 25 septembre 2017
Cyberattaques : les dirigeants face à leurs responsabilités
RUBRIQUE: ARTICLE
LONGUEUR: 533 mots
ENCART: Levier de croissance indéniable, la transformation numérique entraîne, toutefois, une série de risques économiques, juridiques et réputationnels majeurs.
Nul ne peut plus l'ignorer : la transformation numérique offre aux entreprises un formidable levier de croissance en même temps qu'elle induit une prolifération de nouveaux risques aux conséquences économiques, juridiques et réputationnelles majeurs. Les attaques récentes, telles que « Wannacry » et « Notpetya », sont autant de manifestations de la menace que fait peser le risque cyber sur les entreprises. Elles mettent en exergue la nécessité pour celles-ci, et ce quelle que soit leur taille ou leur activité, d'adapter continuellement leur niveau de protection afin de limiter la vulnérabilité de leurs systèmes d'information.
Si des failles de sécurité rendues publiques nuisent nécessairement à l'entreprise comme l'a démontrée l'affaire Yahoo/Verizon (pour rappel, le vol de millions de données à Yahoo avait conduit Verizon à réduire son offre de rachat de ses activités Internet de 350 millions d'euros), des politiques cyber éprouvées se révèlent être, a contrario, de réels éléments de valorisation de l'entreprise, notamment dans la réalisation d'une opération de M & A.
Ce besoin de cybersécurité se fait, par ailleurs, d'autant plus pressant que l'absence de mise en conformité avec les obligations bientôt imposées par le Règlement général sur la protection des données à caractère personnel (le RGPD) et la directive sur la sécurité des réseaux et des systèmes d'information (directive NIS) pourra s'avérer particulièrement coûteuse. Les politiques de cybersécurité mises en place n'en seront que davantage scrutées et analysées.
Les entreprises qui seront jugées responsables d'atteintes à la sécurité des données personnelles s'exposeront à des sanctions pécuniaires pouvant atteindre 10 millions d'euros ou 4 % du chiffre d'affaires annuel. En outre, la généralisation des obligations de notification en cas de faille de sécurité - et notamment l'introduction de l'obligation d'informer les tiers d'une violation de données les concernant - entraînera nécessairement des conséquences financières et réputationnelles.
Les tiers victimes qui auront eu connaissance de cette violation par le biais de cette notification pourront, en outre, mettre en cause la responsabilité de l'entreprise victime de l'attaque pour demander la réparation de leur préjudice.
Par ailleurs, les cyberattaques sont par nature susceptibles de causer des dommages en cascade à la « supply chain ». Les cocontractants pourront alors se prévaloir de possibles manquements aux nouvelles obligations mises à la charge du responsable de traitement et du sous-traitant pour rechercher la responsabilité contractuelle de l'entreprise.
Les dirigeants ne peuvent plus, par conséquent, ignorer l'urgence de doter leurs entreprises d'une politique de cybersécurité efficace, efficiente et respectueuse de l'impératif de protection des données.
Ne pas le faire pourrait être constitutif d'une faute de gestion engageant leur responsabilité si un tel manquement impactait significativement les résultats, voire la pérennité de la société.
Cette chronique vous est proposée par le Club des juristes.
Valérie Lafarge-Sarkozy, avocat associé du cabinet Altana, et expert du Club des juristes, et Célia Hamoud, avocat chez Altana.
DATE-CHARGEMENT: 26 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
391 of 500 DOCUMENTS
Revue Banque
25 septembre 2017
Protection des intérêts clients à l'ère digitale : quels traitements de données ? Une illustration par le cas du profilage
LONGUEUR: 2246 mots
ENCART: Différentes méthodes d'analyses des données peuvent répondre aux exigences de profilage des clients issues de la directive MiFID 2, qui entrera en vigueur début janvier 2018. Mais ces méthodes doivent aussi répondre à des exigences réglementaires de transparence vis-à-vis des clients.
La prise en compte du digital par les régulateurs est de plus en plus évidente, ainsi que l'illustre l'évolution des spécifications relatives au profilage investisseur (MiFID 2). Cet article présente succinctement quatre techniques, deux relevant des data analytics (clustering et analyse prédictive, v. Encadré 1), deux autres s'appuyant sur des avis d'experts (scores d'experts et arbres de décisions) que les prestataires de services d'investissement (PSI) peuvent utiliser pour « profiler » les clients, ainsi que les problématiques qu'elles soulèvent en termes de protection des intérêts des clients, dans la perspective de MiFID 2.
La prise en compte du digital par les régulateurs : le cas du profilage
L'accroissement des volumes de données et le développement des techniques de traitement ouvrent le champ à d'innombrables applications. Pleinement conscients de ces évolutions, les régulateurs savent que la protection des clients et de leurs intérêts passe nécessairement par celle de leurs données, ainsi que par la mise en oeuvre de traitements respectueux de ces intérêts. La CNIL avait, dès 2009, abordé le sujet du marketing ciblé. Le Règlement général sur la protection des données (RGPD)[1], qui constitue une nouvelle étape majeure sur le sujet, traite entre autres sujets du profilage.
Du côté des régulateurs du secteur bancaire et financier, le changement principal est la prise en compte explicite du phénomène digital, notamment à travers plusieurs textes récents : la consultation ESMA sur le Big Data, la recommandation ACPR sur les médias sociaux ou le recueil de données ou encore, sur le même sujet, la recommandation/position de l'AMF.
Le profilage investisseur : ce que c'est et à quoi il sert
Même si le terme de « profilage » est absent en tant que tel du texte de la Directive MiFID 2, le concept y est clairement présent : le paragraphe 2 de l'article 25 de la Directive énumère ainsi les caractéristiques du client qui doivent être prises en compte a minima[2] dans le cadre de la fourniture de conseil en investissement ou du service de gestion de portefeuille, et ce pour « pouvoir lui recommander les services d'investissement et les instruments financiers qui lui conviennent ».
L'enjeu est donc clair : le profilage est l'étape intermédiaire entre la collecte de données sur le client et la fourniture du produit ou service. Les données (ou caractéristiques) seront collectées en vue de déterminer la catégorie de profil, qui elle-même sera utilisée pour cibler les produits et services qui conviennent au client. C'est la pierre angulaire du test d'adéquation.
Naturellement, et cela transparaît dans des textes ultérieurs, ce profilage est avant tout un procédé automatique - un algorithme -, même si son résultat peut être éventuellement modifié au cas par cas via une intervention humaine (justifiée).
Quelles techniques de traitement de données peuvent ou doivent être mises en oeuvre pour concevoir cet algorithme ? C'est un choix qui appartient au PSI, lequel se doit d'être en mesure de l'expliquer aux régulateurs.
Quatre méthodes de profilage pour MiFID 2 et leurs implications
Le clustering dans un contexte Big Data
Il est très tentant d'utiliser la grande quantité de données disponibles, de sources diverses (certaines pouvant être publiques) et d'y appliquer les méthodes sophistiquées du Big Data pour obtenir une description fine des prospects et clients. Les méthodes de clustering, musclées par la recherche suite à l'explosion des données disponibles, peuvent être d'excellents candidats pour aborder la problématique du profilage.
Cependant, en plus de la difficulté à dire quel usage des données est licite ou pas, nous identifions trois écueils éventuels :
les données sont-elles fiables ? les groupements de clients effectués par l'algorithme pourront-ils être utilisables pour déterminer les produits et/ou services qui conviennent ? quel est le ressenti du client face à l'utilisation de ses données ?
Sur le premier point, la fiabilité des données provient, en partie, de leur exhaustivité - renforcée pour les PSI offrant des services en ligne par les données de navigation sur leurs propres sites ou applications. Les banques ne peuvent prétendre à cette exhaustivité que pour leurs clients mono-bancarisés ; à l'inverse, les agrégateurs[3] disposent, par construction, de données plus complètes sur chaque personne, mais sont limités par leur faible pénétration du marché.
Sur le second point, rien ne permet de répondre a priori : un algorithme, même très performant, peut identifier des groupes, certes, pertinents du point de vue de données fournies, mais inadaptés à la vente de produits financiers. Par exemple, les données peuvent faire apparaître des internautes du matin et des internautes du soir. Peut-on justifier la vente du produit A aux uns et du produit B aux autres ? Peut-être... mais rien n'est sûr.
De plus, pour que ces groupes de clients soient pertinents au regard du test d'adéquation[4], il faudra inclure des données en lien avec les caractéristiques à prendre en compte[5], telles que leur consommation de produits et de services financiers, leurs réactions en cas d'événements particuliers (retournement de marchés, pertes sur le portefeuille...) et sans doute d'autres types de données qui pourront être découverts au cours de la recherche.
Pour ce qui est du troisième point, relatif au ressenti du client, il est probable que celui-ci répondra plus volontiers à un questionnaire si on lui en a expliqué la finalité (MiFID requiert d'ailleurs qu'on lui fournisse cette explication), car il comprendra son intérêt. Mais quelle serait sa réaction en apprenant que les données relatives à ses comptes, ses paiements, voire ses habitudes de consommation pourront être utilisées pour tester la cohérence de ses déclarations et définir le produit ou le service dont nous, PSI, pensons qu'il lui conviendrait ? Est-ce que traiter ses données personnelles sans obtenir son consentement est la meilleure manière de protéger ses intérêts ?
Quant à utiliser des données publiques (issues par exemple d'annuaires professionnels ou de réseaux sociaux de type Linked In ou Viadeo), il se pourrait que le client soit, à bon droit, surpris. Même sentiment pour les données de navigation dont l'internaute n'est même pas conscient qu'il les fournit, via les cookies.
Notons au passage que tester la cohérence des données déclaratives est une exigence réglementaire, mais que les moyens à mettre en oeuvre restent à la discrétion du PSI. La nouveauté et la difficulté de ces situations exigent de la prudence, un traitement au cas par cas, voire le partage de ce questionnement avec les régulateurs concernés.
Se préoccuper du ressenti du client pourrait sembler secondaire, au regard de l'application de la loi et des règlements. Je pense qu'il n'en est rien : c'est la prise en compte de ce ressenti qui permet d'établir un lien de confiance entre le banquier et son client, confiance qui est nécessaire au développement de l'un et à la sérénité de l'autre. Mais bien au-delà, tout client est en droit d'attendre que son ressenti soit écouté par son banquier ; en tant que banquier, je me dois donc d'être à l'écoute de mes clients.
L'analyse prédictive
Ces techniques sont connues depuis longtemps. Un scoring de risque de crédit n'est finalement rien d'autre : sur la base de deux types de données, descriptif de clients d'une part (variables explicatives), et existence d'incidents sur des prêts à ces clients d'autre part (variable à expliquer), on essaie d'établir un lien entre les deux pour évaluer le risque d'un incident lors de tout nouveau prêt.
Dans le cas du profilage, il s'agira de déterminer le profil du client, qui constituera donc la variable à expliquer. Le problème est que, contrairement à un incident de remboursement sur un crédit, cette variable n'est pas une donnée factuelle, observable ; elle n'existe pas a priori. L'analyse prédictive n'est donc applicable que si cette variable « Profil » est, d'une manière ou d'une autre, préexistante au sein des données. Elle pourrait être créée, soit par des techniques de Big Data (clustering), soit par des techniques plus simples (v. infra).
Comme pour le clustering, se pose la question de la licéité de l'utilisation des données disponibles. Rappelons au passage qu'un banquier est supposé traiter les informations à sa disposition dans le but pour lequel elles lui sont fournies.
De plus, l'analyse prédictive, tout comme le clustering, est difficilement explicable à l'ensemble des clients, en tout cas dans ses détails techniques. Dès lors, l'exigence réglementaire de transparence peut être vidée de son sens. Quelle est, en effet, la valeur d'une réponse de type « c'est un algorithme complexe qui vous a classé ainsi » ?
Le score d'experts
Contrairement aux analyses prédictives, le score d'expert ne vise pas à expliquer a posteriori une variable factuelle et observable, mais à en fixer a priori la construction, par le biais de scores attribués aux différentes données ou réponses collectées (prenant le cas échéant des mesures correctrices). C'est la note finale ainsi obtenue qui détermine la catégorie du client.
Les éléments essentiels de la constitution du score, à savoir les notes et les seuils, ne sont alors pas le résultat de traitements objectifs, mais de choix opérés par les personnes en charge d'élaborer le scoring : les experts.
La principale difficulté de cette approche est d'expliquer le pourquoi des pondérations ou seuils retenus par les experts. Alors même que le résultat au final est souvent cohérent (les individus les plus expérimentés et les plus riches peuvent accéder aux produits les plus risqués ou complexes), la justification est d'autant plus délicate que les paramètres sont nombreux.
Notons par ailleurs que des méthodes différentes aboutiraient probablement à des classifications comparables ; comparables mais non identiques, c'est justement l'argument que pourrait opposer un client qui s'estimerait mal classé.
L'arbre de décision
Comme le score d'experts, l'arbre de décision se base sur les avis d'experts. Il s'agit d'une succession de questions qui, selon les réponses fournies, se branchent de diverses manières, pour en arriver - comme dans l'analyse prédictive - à affecter une catégorie de profil à l'individu considéré : la valeur de la variable par rapport à un seuil (impliquant une réponse oui/non) décide du branchement aval de l'arbre, c'est-à-dire des questions ultérieures, et ainsi de suite à chaque nouvelle question, jusqu'à la catégorisation finale.
Ce processus est plus simple à exposer qu'un score d'expert : il n'y a qu'un seuil à chaque étape et donc, a priori, moins de paramètres numériques à justifier. Il est moins abstrait à expliquer qu'un algorithme de clustering en ce qu'il reproduit le cheminement de la pensée humaine.
Toutefois, c'est précisément cette caractéristique qui le rend susceptible de reproduire d'éventuels biais (idées préconçues) préexistants dans le savoir des experts.
Dans son choix de la méthode de profilage dans une perspective MiFID 2, le PSI doit évidemment s'assurer que cette méthode permet de collecter ou calculer l'ensemble des informations requises par MiFID 2, mais également qu'elle est aisément explicable et communicable : il semble en effet crucial, afin de protéger effectivement les intérêts des clients, d'être transparent à leur égard sur les données qui seront collectées, sur l'utilisation qui en sera faite, et d'obtenir leur assentiment.
Perspectives
La situation continuera à évoluer sur le plan technique, mais également sur le plan réglementaire, en particulier grâce à la finance comportementale. Celle-ci doit en partie son émergence à Internet, qui rend visibles de nombreux comportements de clients. Elle intéresse les régulateurs[6] et trouvera un champ d'application naturel dans le profilage.
Nous souhaitons ici proposer deux pistes pour améliorer les processus de profilage quels qu'ils soient :
la prise en compte de réclamations quand elles sont liées au profilage : les réglementations exigent déjà que les réclamations clients soient répertoriées et traitées. Certaines d'entre elles peuvent mettre en cause, directement ou non, les processus automatiques impactant les clients : à utiliser donc, pour l'amélioration des dits processus ; l'amélioration des connaissances financières des clients : parmi toutes celles listées par la directive, c'est la variable la plus susceptible d'évoluer rapidement et à l'initiative du client : il suffit de se former[7]. De plus, on peut penser qu'un client qui se forme aura plus tendance à acheter les produits ou souscrire aux services sur lesquels il s'est documenté, et sera en situation d'améliorer son expérience.
Un besoin d'éthique
En conclusion, la mise en place de profilages répondant à des exigences réglementaires est une étape du dialogue sur le digital qui est en cours de développement entre les régulateurs et les acteurs du monde financier. Ce dialogue devrait couvrir l'ensemble des aspects digitaux de la relation client, sans s'y limiter, et impliquer les clients eux-mêmes, afin de renforcer la protection de leurs propres intérêts. Par ailleurs, à l'instar de toutes les avancées techniques qui ouvrent des possibilités et sont en avance sur la mise en place d'une norme détaillée, la digitalisation des profilages invite les banques à réfléchir sur leurs responsabilités vis-à-vis des clients et remet en lumière les principes moraux et le besoin d'éthique.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
392 of 500 DOCUMENTS
IT for Business
23 septembre 2017
Les baromètres du mois
RUBRIQUE: REPÈRES; Pg. 0024, 0025 N° 2220
LONGUEUR: 892 mots
Les chiffres marquants
53 % des commerçants ont déjà été victimes d'une violation de leurs données au cours de l'année écoulée. Source : Rapport de Thales sur les menaces informatiques
185 M$ C'est le montant de la levée de fond réalisée par l'éditeur de blockchain Block.one. Source : Baromètre Sindup-Fargo
65 % des réunions professionnelles se déroulent à distance, par audio le plus souvent. Source : Cabinet Wainhouse Research - 2017
72 % des professionnels de la sécurité placent le phishing en tête des menaces. Source : SANS Institute
49 % des entreprises interrogées ont confirmé avoir fait l'objet d'une campagne de ransomware en 2016. Source : Radware
Prestation informatique
Été oblige, le nombre global de demandes est passé de 870 pour juin à 676 en juillet. L'offre des sociétés de services est descendue à 1 018 pour ce dernier mois, ce qui la rapproche un peu de la demande. La catégorie « Nouvelles technologies » représente toujours le gros de l'offre, à 359, comme de la demande à 232. Viennent ensuite « Systèmes, réseaux, sécurité » (150 demandes) et « Consulting-expertise » (119 demandes). L'offre est supérieure aux demandes dans toutes les catégories, globalement à raison d'une offre et demi pour une demande, sauf pour celle des « ERP » où la situation est inversée. Source : HitechPros
Emploi IT
Avec la plus forte croissance (+30 %) en volume d'offres, les métiers de l'IT se positionnent comme les postes clés de l'année 2017. Il existe une demande croissante sur des fonctions de top management stratégiques pour accompagner la transformation digitale, et de CDO pour la gouvernance et l'exploitation de la data. Les profils présentant une double compétence sur l'IT et les enjeux métiers sont de plus en plus recherchés, et ce, du chef de projet au directeur de département. Source : Robert Walters - juillet 2017
Sécurité
Selon Gartner, les perspectives de croissance de services de sécurité délivrés via le cloud vont continuer à croître pendant quelques années. Tous les types de services sont concernés. Sans grande surprise, la catégorie « gestion des identités, IAM, iDaaS et authentification des accès » représente le plus grand segment en volume, à hauteur de 3 Md$ prévus en 2019. Si tous les autres segments devraient connaître une forte croissance, celui du test des applications (Application security testing) est particulièrement en vogue. Le total du marché, toute catégories confondues, devrait passer de 4,8 Md$ en 2017 à 8,9 Md$ en 2020. Source : Gartner - Juin 2017
Cloud
Markess édite tous les ans un baromètre des prestataires du cloud Computing réalisé à partir de questions posées aux fournisseurs et composé de 15 indicateurs. Cette 11ème édition confirme l'attente des fournisseurs vers un accroissement des demandes en particulier sur le SaaS et sur le IaaS public. Viennent ensuite le PaaS et le IaaS dédié. Sans surprise, les ETI et les grands comptes emmènent ce marché toujours en croissance. Autre résultat de l'étude, le RGPD aura un impact non négligeable sur les offres. Source : Markess - Juillet 2017
Intelligence artificielle
Selon une étude menée par Accenture Research en collaboration avec Frontier Economics, les entreprises qui tirent parti des atouts de l'intelligence artificielle pourraient accroître leur rentabilité de 38 % en moyenne d'ici 2035. L'étude a, entre autres, quantifié cet impact en termes de valeur ajoutée brute. Trois secteurs d'activité - l'information et la communication, l'industrie manufacturière et les services financiers - sont particulièrement concernés, avec des taux de croissance de respectivement 4,8 %, 4,4 % et 4,3 % de valeur ajoutée supplémentaire due à l'utilisation de l'IA. Source : Accenture Research - Août 2017
Les contrats du mois
Entreprise Solution Projet TenneT (Pays-Bas) China Express Airlines La Nouvelle République du Centre-Ouest Marseille Primagaz Air France Capgemini SAP Hybris Travel Accelerator Hub One Exakis (Magellan Partners) Concur (SAP) Wordbee Fournir les services applicatifs hors coeur de métier et accompagner la démarche d'innovation. Faciliter les ventes de billets aériens et de services à travers la connexion avec le système de réservation TravelSky (GDS). Migrer l'infrastructure téléphonique dans le cloud pour faciliter les communications inter-sites et la mobilité des journalistes. Améliorer le service public via un agent conversationnel sur la page Facebook de la ville. Réduire la gestion des notes de frais de 4 heures à quelques minutes par mois et par collaborateur. Industrialiser la traduction des 90 sites web pour réduire ce coût.
Les chiffres marquants
255 C'est le nombre de failles de sécurité découvertes sur la plateforme Android entre janvier et mai 2017. Source : Rapport d'Eset
x 2 Les contenus malveillants distribués via SSL/TLS ont plus que doublé en 6 mois. Source : Zscaler
80 % des 450 responsables de la transformation numérique d'entreprises interrogés dans cette étude affirment que leur industrie est déjà changée par la technologie numérique ou va l'être prochainement. Source : Étude de Couchbase
- de 2/3 des entreprises enquêtent sur les alertes de sécurité. Dans certains secteurs, comme la santé et le transport, le chiffre s'approche des 50 %. Source : Cisco
3 246 284 nouvelles applications malveillantes pour Android ont été recensées en 2016. Source : GData Software
DATE-CHARGEMENT: September 22, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
393 of 500 DOCUMENTS
DAF Magazine
21 septembre 2017
Edition 1
Le data protection officer : interne, externe ou mutualisé ?
RUBRIQUE: SYSTÈME D'INFORMATION; Pg. 58,59,60
LONGUEUR: 1684 mots
ENCART: RGPD
Le 25 mai 2018, adieu CIL, bonjour DPO ! Du moins pour les entreprises qui avaient déjà créé cette fonction. Pour les autres, plusieurs questions se posent : devons-nous nommer un DPO ? Est-il possible de l'externaliser ? Voici les réponses !
Une des obligations introduites par le Règlement général pour la protection des données (RGPD) adopté en mai 2016 est l'obligation, pour certaines structures, de nommer un data protection officer (DPO), ou délégué à la protection des données. Cette fonction remplacera à compter de mai 2018 celle de correspondant informatique et libertés (CIL), créée en 2004 avec la loi éponyme.
Désigner un DPO sera obligatoire dans trois cas : si le traitement des données personnelles est effectué par une autorité ou un organisme public ; si les activités de base de l'organisme consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées (profilage, ciblage publicitaire...) ; ou encore lorsque l'activité implique le traitement à grande échelle de données sensibles ou relatives aux condamnations et infractions spéciales. Les banques, assurances, instituts de sondage, par exemple, ne pourront s'en dispenser. Les organisations qui n'entrent pas dans ces cas, quant à elles, sont libres de ne pas nommer de délégué. Cependant, le nouveau règlement met fin à l'obligation de déclaration prévue par la loi Informatique et libertés. Désormais, les entreprises doivent pouvoir apporter à tout moment la preuve qu'elles protègent les données personnelles. C'est pourquoi les experts recommandent de désigner un DPO, même pour les structures qui n'y sont pas contraintes, si elles collectent des données personnelles. Chacune pourra enregistrer son DPO auprès de la Cnil à partir du 25 mai 2018. La fonction pourra être internalisée, mutualisée, ou externalisée auprès d'un cabinet d'avocats ou d'une entreprise spécialisée.
SES MISSIONS Chef d'orchestre de la gestion des données, le DPO a une mission d'information, de conseil et d'audit. Isabelle Dubois, DPO externe avec sa structure suisse Ad Hoc Resolution, estime que « la fonction est relativement élastique entre le minimum légal et l'ampleur que l'on peut donner à la mission selon les ressources de l'entreprise et le volume de traitements ». Pour la Cnil, le délégué doit tout d'abord informer et conseiller le responsable du traitement ou le sous-traitant, ainsi que les équipes, et contrôler le respect du RGPD. Il conseille aussi l'organisme sur la réalisation d'une analyse d'impact relative à la protection des données et en vérifie l'exécution. Enfin, il est le point de contact de l'autorité de contrôle : c'est lui qui devra l'informer en cas de faille de sécurité. Le RGPD impose également aux organisations de tenir un registre des traitements de données personnelles : « Le registre est rattaché au responsable de traitement mais, dans la pratique, c'est le DPO qui le tient à jour », souligne Richard Bertrand, directeur d'Actecil, spécialiste du conseil en protection des données personnelles.
Qu'il soit salarié ou non, « il doit être en mesure d'exercer ses fonctions et missions en toute indépendance », insiste Hélène Legras, vice-présidente de l'Association des data protection officers : le DPO fera ses rapports au niveau le plus élevé de la direction, qu'il TRAITEMENT DE DONNÉES PERSONNELLES À GRANDE ÉCHELLE +alertera en cas de manquement au règlement. Il ne doit donc pas être juge et partie. C'est pourquoi la Cnil précise qu'en interne, il n'est pas possible de nommer à cette fonction le DSI ou le responsable RH, par exemple. Dans les grands groupes, ce sont généralement les CIL déjà en place qui seront amenés à évoluer vers cette fonction. Enfin, le DPO ayant accès à des données qui peuvent être sensibles, il a une obligation de confidentialité. De par le caractère sensible et stratégique de sa mission, le règlement européen prévoit que « le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l'exercice de ses missions » (art. 38.3). Par ailleurs, il n'est pas personnellement responsable en cas de non-conformité de son organisme avec le règlement.
FIN DE L'OBLIGATION DE DÉCLARATION À LA CNIL =NÉCESSITÉ D'UN DPO Hélène Legras souligne que « DPO signifie data protection officer : l'expression parle de "data" sans préciser "personnelles".
À SAVOIR COMMENT TROUVER SON DPO EXTERNE OU MUTUALISÉ ? « Tout le monde n'a pas besoin d'un DPO à plein temps », rappelle Isabelle Dubois, qui exerce la fonction de DPO externalisé pour une start-up suisse spécialisée dans la géolocalisation ayant une filiale en France. Une solution idéale pour les organisations dont le traitement de données personnelles n'est pas le coeur de métier, mais qui veillent à leur conformité avec le RGPD. « Alors que l'externalisation du CIL n'était possible que lorsque moins de 50 personnes participaient au traitement des données, le DPO peut être externalisé librement », précise Richard Bertrand, dirigeant d'Actecil. Pour trouver un prestataire, le Daf pourra solliciter des cabinets d'avocats ou des sociétés de conseil spécialisées. À cet effet, les labels Cnil en audit et gouvernance constituent un bon indicateur pour le guider. Au-delà des compétences indispensables, Isabelle Dubois recommande surtout de choisir « une personne de confiance, qui est bien en phase avec le fonctionnement de l'entreprise, qui a de l'entregent et qui sait trouver les ressources ».
SES QUALITÉS Les qualités d'un bon DPO ? « Un tiers d'informatique, un tiers de juridique, un tiers de capacités organisationnelles... Et un quatrième tiers de bon sens ! », sourit Alain Bensoussan, avocat spécialisé en droit du numérique et des technologies avancées, fondateur du cabinet éponyme et également président de l'Association des data protection officers. Car le délégué va passer son temps à arbitrer... Il n'y a pas un profil type. Issu du domaine technique ou juridique, par exemple, le futur DPO doit disposer, pour la Cnil (au regard de l'art. 37.5 du RGPD), d'une expertise dans le domaine des législations et pratiques en matière de protection des données, acquise notamment grâce à une formation continue. Le DPO sera également capable de communiquer efficacement.
Il n'est pas possible de fonction le DSI ou le Comme bien des fonctions émergentes (contract manager, risk manager...), le délégué aura donc un rôle charnière entre les différentes directions de l'entreprise : SI, juridique, opérationnelles... Selon l'activité de l'organisme et le niveau de sensibilité de ses traitements, son niveau d'expertise sera plus ou moins élevé. Il doit également disposer d'une bonne connaissance du secteur d'activité et de l'organisation de la structure : les opérations de traitement qu'elle effectue, son SI et ses besoins en matière de protection et de sécurité des données. La Cnil insiste sur la nécessité de "favoriser un délégué géographiquement proche pour faciliter une communication efficace" : une entreprise qui n'a que peu de traitements, un DPO externe (voir encadré) sera pertinent. Dans les collectivités territoriales et organismes publics, la nomination d'un DPO mutualisé permettra de satisfaire l'obligation légale en ayant un pilote local de la conformité. Pour la Cnil, il faut avant tout "favoriser un expert du secteur", qui connaîtra bien les spécificités des données traitées.
QUEL COÛT ? Le métier étant récent, il n'existe pas de grille de rémunération, d'autant plus que la plupart des DPO déjà nommés en interne occupaient d'autres fonctions dans l'entreprise avant leur nomination, et qu'ils ont souvent conservé leur précédente rémunération.
Le recours à une prestation de DPO externe aura un coût très variable selon le secteur d'activité, les traitements effectués et le niveau de maturité de l'entreprise dans ses traitements. « Il faut compter quelques milliers d'euros », évalue Richard Bertrand. Par exemple, pour une entreprise de 200 à nommer à cette 12 000 euros par an pour bénéficier d'un DPO externalisé. Le cabinet Lexing Alain Bensoussan Avocats propose pour sa part une fonction de DPO externalisé avec un suivi accessible en ligne : après la mise en conformité, la prestation représente en moyenne « un ou deux jours par trimestre pour une entreprise de taille moyenne, et un jour par mois pour une grande entreprise, indique Alain Bensoussan. Sur le plan budgétaire, le coût sera compris entre 1 000 et 1 500 euros par journée. » L'expert rappelle aussi qu'« il faut disposer d'outils dédiés, la prestation ne se limitant pas au conseil : cartographie des traitements, référentiels à écrire, registres... ». o BÉNÉDICTE GOUTTEBROZE www.daf-mag.fr ¦¦Le Cnam propose un certificat de spécialisation délégué à la protection des données (DPO/CIL) destiné aux auditeurs disposant de bonnes connaissances juridiques. ¦¦Assas et Paris 10 ont créé un diplôme universitaire de délégué à la protection des données, pour les personnes ayant déjà une expérience en entreprise (droit, informatique ou gestion).
¦¦L'université de Franche-Comté a ouvert en 2014 un nouveau DU CIL/DPO, s'adressant principalement aux responsables informatiques ou responsables qualité. ¦¦L'Isep a créé un mastère spécialisé management et protection des données à caractère personnel. ¦¦Par ailleurs, la Cnil accompagnera les délégués dans l'organisation et l'exercice de leurs missions. Son site propose une liste d'organismes de formation labellisés, à destination des futurs DPO. Enfin, pour les structures optant pour un DPO externe, la Cnil recommande d' "adapter le degré de qualification de l'expert en fonction des enjeux" : pour les cas les plus courants, recourir à un avocat expert en biométrie et en profilage sera peu pertinent.
TRAITEMENT DE DONNÉES
PERSONNELLES À GRANDE ÉCHELLE
FIN DE L'OBLIGATION
DE DÉCLARATION À LA CNIL
NÉCESSITÉ D'UN DPO
+
=
à la protection des données au sein de son entreprise, résume Hélène Legras. Il ne peut être expert dans tous les domaines et doit
et connaît peu de ses traitements, le coût 4 000 euros pour un état cinq jours de travail),
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DAF
Copyright 2017 DAF Magazine
tous droits réservés
394 of 500 DOCUMENTS
DAF Magazine
21 septembre 2017
Edition 1
Cas d'usage, zones d'incertitude : où en est-on dans les entreprises?
AUTEUR: BÉNÉDICTE GOUTTEBROZE
RUBRIQUE: FINANCEMENT; Pg. 48,49,50
LONGUEUR: 1357 mots
ENCART: BLOCKCHAINC'est une révolution ! C'est une disruption ! Que dis-je, c'est une disruption ? C'est un séisme ! Vous l'aurez compris, la blockchain est une technologie qui suscite un grand enthousiasme... chez les technophiles avant tout. Au-delà des discours, les résultats restent encore assez flous. Cette innovation présente un fort potentiel, mais que peuvent en faire concrètement les entreprises ?
La blockchain est l'un des buzzwords de 2017. Automatisation de l'exécution des contrats, gestion des appels d'offres, sécurisation de la supply chain, simplification des paiements... les promesses sont nombreuses. Mais concrètement, où en sont les entreprises aujourd'hui et comment peuvent-elles exploiter cette nouvelle technologie? Une conférence organisée le 16 mai 2017 par NewsCo à Paris a permis de faire le point sur les enjeux et perspectives de cette technologie. Premier constat: la blockchain, telle qu'elle est apparue avec le bitcoin, est basée sur une absence totale de gouvernance. Or, difficile pour une entreprise privée d'imaginer mettre en place un registre, certes sécurisé par un jeu de clés cryptographiques, mais qui serait accessible librement, et pourrait donc être lu par n'importe qui.
D'où l'apparition des blockchains privées, c'est-à-dire des registres permettant le stockage et la transmission d'informations de manière sécurisée et décentralisée, mais avec un système d'autorisation d'accès, de lecture et de vérification plus strict, réservé à un réseau restreint. On parle aussi de distributed ledger technology (DLT). On s'éloigne beaucoup, donc, de l'esprit originel de la blockchain. Mais «aujourd'hui, les blockchains privées sont les drivers du marché », juge Frédéric Maserati, directeur conseil chez Keyrus Management, cabinet de conseil spécialisé en management et transformation.
LES PROMESSES: TRAÇABILITÉ, CONFIANCE ET AUTOMATISATION Que peut-on attendre précisément d'un tel outil? La technologie existe, mais à quelles problématiques peut-elle vraiment apporter une solution ? Pour Frédéric Maserati, les entreprises sont «dans la même situation qu'avec Internet en 1995»: on voit qu'une tendance apparaît, mais il est encore difficile de se projeter.
L'un des principaux atouts de cette innovation est avant tout la traçabilité: avec la blockchain, il est possible d'agréger différents acteurs qui pourront échanger automatiquement des informations en partageant un registre infalsifiable. Une notion qui est à corréler avec celle de confiance: la blockchain sécurise les échanges entre des acteurs qui n'ont entre eux qu'une confiance limitée. Autre aspect intéressant: la notion de transfert programmable, ainsi que la mise en place de règles de gestion pour une transaction. Dans le cadre d'un smart contract, par exemple, l'exécution d'un contrat sera déclenchée automatiquement lorsque les conditions prévues seront réunies.
Enfin, les blockchains privées sont déployables en cloud, et l'allégement du consensus en réseau privé (en raison du nombre plus restreint de participants) les rend plus rapides qu'une blockchain publique. Ainsi, des expérimentations de blockchains privées apparaissent, par exemple dans le domaine des paiements transfrontaliers avec Ripple, qui rend de tels paiements instantanés, sans passer par un organisme central. En matière d'audit, Frédéric Maserati cite l'exemple de J.P. Morgan, qui a mis en place un programme en vue de repérer les erreurs dans les contrats.
Les blockchains privées amélioreraient les process métiers et les workflows, qu'il s'agisse de finance, de gestion des contrats commerciaux ou de suivi des fournisseurs: tout dépend de ce qu'on met dedans! «La blockchain est un système de gestion de jetons», résume Christophe Van Cauwenberghe, responsable innovation paiements et programme innovation fintech chez Société Générale global transaction & payment services, qui tente différentes expérimentations dans le domaine bancaire. «Tout dépend, donc, de la valeur que l'on donne au jeton.» Et nous allons le voir, la question de savoir ce qu'une entreprise peut, mais surtout ne peut pas mettre dans une blockchain, sera centrale.
POUR QUELS CAS D'USAGE? Si la blockchain est une innovation prometteuse, elle ne doit cependant pas être considérée comme une solution miracle adaptée à n'importe quelle situation. La mise en place d'une blockchain privée doit répondre à des cas d'usage précis, impliquant surtout la gestion de grands volumes de données partagés par plusieurs participants indépendants. Pour Sébastien Couture, directeur marketing de Stratumn, un projet pour lequel une blockchain privée constitue une solution pertinente doit répondre à trois critères-clés: - un processus numérisable interorganisation; - la réunion de participants ayant entre eux une confiance limitée; - le besoin de partager certaines informations et d'en masquer d'autres.
Dans nombre de cas, une simple base de données sera suffisante, et le recours à une blockchain ne se justifiera pas. Pour l'heure, ce sont surtout les grands groupes, comportant de nombreuses filiales, notamment dans les secteurs de la banque, de l'assurance ou encore de l'énergie, qui lancent des expérimentations.
UN OVNI JURIDIQUE ET DES RESSOURCES ENCORE RARES Si le potentiel est bien là, la mise en pratique soulève plus de questions qu'elle n'apporte de réponses. Sur le plan juridique, en particulier, la blockchain ne possède encore aucune définition.
Avec l'entrée en vigueur du RGPD, la question des données à caractère personnel se pose : les informations placées dans une blockchain sont conservées sans limitation de durée, alors que le nouveau règlement européen impose le principe de conservation limitée des données à caractère personnel. «Il est donc nécessaire d'analyser en détail quelles données seront sur la blockchain. Une blockchain peut être compatible avec le RGPD, si on gère correctement le traitement des données qui y sont conservées», avertit Me Lise Breteau, avocate associée chez Osborne Clarke Selas. On peut donc supposer que ce ne sont pas les données personnelles en ellesmêmes que les organisations stockeront dans FOCUS L'AMÉLIORATION DE LA TRAÇABILITÉ DES DOCUMENTS DE SÉCURITÉ CHEZ THALES Créée en 2015, la société Stratumn propose aux entreprises de mettre en place des blockchains privées, via le protocole proof of process, qui assure l'intégrité de la donnée partagée entre les clients, les partenaires et un régulateur.
Elle a ainsi mis en place chez Thales une blockchain visant à améliorer la traçabilité des documents de sécurité, afin de répondre aux besoins de projets de construction de biens industriels complexes incluant de nombreux acteurs (par exemple, la construction d'un métro, projet qui compte de nombreuses sociétés et va courir sur plusieurs années). Dans ce type de configuration, la centralisation de la gestion de projet est souvent problématique, la multiplication des intervenants et des modes de transmission des informations entraînant un manque de transparence sur la provenance des documents de sécurité, ainsi qu'un risque de corruption des données de certification. Stratumn a donc développé pour Thales une plateforme qui garantit la traçabilité de ces documents, avec un même système partagé entre les intervenants.
Ce registre permet de valider la transmission de chaque document, tout en préservant la confidentialité de son contenu, qui n'est pas révélé. Il est également possible de valider certains éléments du contenu sans pour autant les dévoiler, grâce à la cryptographie.
selon Frédéric Maserati (Keyrus Management). Trouver des profils techniques suffisamment pointus pour mettre en place des POC (proof of concept) est loin d'être évident. D'autant moins que la technologie blockchain n'est Pour l'heure, compte tenu des contraintes réglementaires et des questions de confidentialité, les entreprises expérimentent surtout les possibilités d'automatisation et de validation qu'offre la blockchain, bien que le champ des possibles soit largement plus vaste. Le stockage des données en elles-mêmes, et surtout leur analyse, est encore assuré par des dispositifs classiques, la technologie blockchain venant en complément. Si ce n'est pas demain que la blockchain viendra remplacer vos différentes bases de données, analyser le potentiel de cette technologie et envisager les cas d'usages possibles, en fonction de votre activité et de votre organisation, constitue un premier pas important pour ne pas vous laisser dépasser. Encore une nouvelle chicane dans le virage numérique ! o BÉNÉDICTE GOUTTEBROZE
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DAF
Copyright 2017 DAF Magazine
tous droits réservés
395 of 500 DOCUMENTS
DAF Magazine
21 septembre 2017
Edition 1
RGPD : le rétroplanning à suivre d'ici au 25 mai 2018
RUBRIQUE: SYSTÈME D'INFORMATION; Pg. 54,55,56
LONGUEUR: 1527 mots
ENCART: DATA
Le Règlement général pour la protection des données, qui vise en substance à renforcer les droits des personnes dont les données sont collectées, entrera en application le 25 mai 2018. L'envergure des chantiers organisationnels, technologiques et juridiques est telle que les entreprises doivent s'engager sans attendre dans une démarche de mise en conformité si elles veulent être prêtes à temps.
En cette fin d'été 2017, chaque organisation devrait déjà avoir réfléchi à la structuration de sa démarche de mise en conformité. Mais la construction de la trajectoire de mise en conformité dépend évidemment du degré de maturité et de l'exposition de chaque organisation. Ici, dans l'optique de parler au plus grand nombre, nous avons construit un chronogramme en partant d'un degré de maturité faible.
Nota bene Si cela n'a pas déjà été fait, désignez un coordinateur (le délégué à la protection des données - cf. p. 58) et veillez à allouer au projet les moyens humains et financiers nécessaires pour en assurer la réussite.
o ÉTAPE 1 - SEPTEMBRE ET OCTOBRE 2017 o CARTOGRAPHIER LES TRAITEMENTS DE DONNÉES PERSONNELLES La tenue d'un registre des traitements mis en oeuvre dans l'entreprise est une des clés de voûte du Règlement. Les entreprises doivent être en capacité d'identifier avec précision les types de données à caractère personnel dont elles disposent et savoir où celles-ci sont stockées et transférées.
Afin d'élaborer ce registre, les acteurs devront lister pour chaque traitement de données personnelles : - la finalité du traitement (les objectifs poursuivis) ; - la nature des données traitées ; - les acteurs internes et externes qui traitent ces données ; - la localisation de ces données ; - les flux amont et aval (l'origine et la destination) ; - les temps de conservation ; - le volume. o o ÉTAPE 2 - NOVEMBRE 2017 o ANALYSER LA CONFORMITÉ DES TRAITEMENTS RECENSÉS ET LES RISQUES ASSOCIÉS Pour apprécier la criticité des traitements inventoriés, on se posera entre autres deux questions.
- Les données récoltées nécessitent-elles une vigilance accrue au regard du Règlement (exemples : données de santé, données biométriques, d'opinions politiques, données traitées de façon systématique aboutissant au profilage, etc.) ? - Les données récoltées sont-elles strictement nécessaires à la poursuite des objectifs (principe de minimisation) ? Une fois les traitements à risque identifiés, il s'agira d'évaluer si les dispositifs de maîtrise en place sont appropriés à travers des PIA (privacy impact assessments). On recensera les mesures de sécurité physique et logique mises en place pour protéger notamment la confidentialité et l'intégrité des données, et on identifiera les stratégies qui doivent être déployées pour respecter les exigences du Règlement.
Nota bene Les risques de manipulation ou de divulgation de données, dus à des contrôles d'authentification insuffisants ou à des accès inappropriés aux données sensibles (accès aux réseaux), devront être particulièrement scrutés.
Il pourra être envisagé de renforcer la robustesse des processus d'attribution, de suppression et de revue périodique des droits d'accès. En fonction du niveau de maturité de votre organisation, une gestion des droits beaucoup plus fine pourra être nécessaire. De même, on cherchera à s'assurer de la protection suffisante des infrastructures, notamment en se penchant sur le processus de gestion des correctifs (système d'exploitation, système de gestion de base de données, applications, antivirus, pare-feu, etc.) ; et on s'attardera sur le plan de sauvegarde et la manière dont sont conduits les tests de restauration pour évaluer le risque d'indisponibilité des données personnelles.
Pour réduire l'exposition à ces risques de façon transverse, une approche efficace consiste à centraliser la sécurité des données sensibles en les protégeant à partir d'un point unique.
Le renforcement des mesures de sécurité pourra aussi conduire à réfléchir à la détection de data breach ou à la protection des données grâce à l'utilisation d'outils de chiffrement (notamment pour les données peu structurées), de pseudonymisation (pour protéger la donnée de façon réversible et uniforme) ou encore d'anonymisation (pour protéger la donnée de façon irréversible et unique). o des données personnelles doivent ainsi se soumettre à une obligation de transparence. L'identité du responsable de traitement, la finalité du traitement, la durée de conservation des données et l'ensemble des droits des personnes associées doivent être communiqués de façon claire et concise.
Dans la même veine, les conditions de recueil du consentement ont aussi été consolidées : désormais, le responsable du traitement devra veiller à ce que ce consentement soit donné de manière non ambiguë, autrement dit par un acte positif. Si le traitement comporte plusieurs finalités, le consentement devra être donné pour chacune. Les modalités d'information et de collecte devront être ajustées en ce sens.
Le RGPD crée également de nouveaux droits (à la portabilité, à la limitation, à l'oubli), qui viennent s'ajouter à plusieurs droits préexistants (droits d'accès, d'opposition, de rectification). Les process doivent être mis à jour pour que les personnes puissent exercer leurs droits correctement.
Les modalités d'exercice de ces droits pourront être scrutées par les autorités de contrôle, mais pas uniquement : comme pour la législation sur la protection des consommateurs, les associations référentes en matière de protection des données personnelles pourront bientôt introduire des recours collectifs.
o VALIDER LA DE "PRIVACY BY DESIGN" Le principe de "privacy by design" devra être incorporé aux procédures : il faudra définir les mesures de protection des données appropriées dès la phase de conception d'un nouvel outil ou d'une nouvelle application. L'organisation, pour chaque étude d'impact, veillera à impliquer les différentes parties prenantes (responsable, métiers, programmeurs, RSSI... si besoin) de façon collaborative.
MENTIONS LÉGALES EN MATIÈRE DE PROTECTION DES DONNÉES PERSONNELLES Le Règlement crée un "écosystème de responsabilités" : la magazine -N° 33 -SEPTEMBRE 2017 cette perspective, la définition de clauses rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
CAPACITÉ À NOTIFIER RAPIDEMENT TOUTE VIOLATION DE DONNÉES En cas de violation de données, l'entreprise doit pouvoir alerter la Cnil dans un délai de 72 heures. Pour respecter ce délai, il est recommandé aux organisations d'élaborer un formulaire de notification de violation de données et d'optimiser les processus d'escalade en définissant les rôles de chacun dans le process de gestion de crise.
ACTIONS DE SENSIBILISATION L'étendue des droits des personnes et la notion de données sensibles doivent être connues de tous. L'entreprise devra articuler des actions de sensibilisation auprès des collaborateurs et des managers les plus exposés (à travers son plan de formation), ceci afin d'assurer une meilleure remontée des risques et des anomalies, et de favoriser un plus grand respect des règles par tous. o ÉTAPE 4 - DE MARS À MAI 2018 o CONFORMITÉ DE L'ORGANISATION VIS-À-VIS DU RGPD, actions de sensibilisation menées sont autant de documents qui devront pouvoir être récupérés facilement.
butoir pourront être consacrés au déploiement des correctifs additionnels éventuels. À l'issue de cette démarche de mise en conformité, vous devrez être capable de prouver votre conformité au Règlement, à travers l'élaboration et le regroupement de la documentation nécessaire évoquée tout au long des étapes précédentes. Registre des traitements, analyses d'impact, mentions d'information, modèles de recueil du consentement des personnes concernées, procédures en place pour l'exercice des droits des personnes, contrats avec les sous-traitants, procédures internes en cas de violation de données et liste des sont conformes.
C'est là tout l'enjeu du principe d'accountability (autoresponsabilisation) introduit par le Règlement : les entreprises doivent se préparer à justifier leurs actions après des autorités de contrôle.
Nota bene Rappelez-vous qu'il ne suffit pas d'être conforme le 25 mai 2018, mais que la philosophie du Règlement est au contraire de privilégier la poursuite d'une démarche d'amélioration continue. La Cnil s'attend à ce que les organisations mettent à jour régulièrement leurs procédures et conduisent leurs propres audits de conformité à intervalles constants. o www.daf-mag.fr
L'auteur Romain Maillard, senior manager BDO Romain Maillard est senior manager au sein du département de BDO France dédié aux activités de conseil. Depuis 2009, il accompagne ses clients dans leur projet de cartographie des risques, dans l'évaluation de leurs procédures de contrôle interne, et intervient sur de nombreux sujets liés à la compliance. Il apporte également son expertise dans le cadre de la structuration de dispositifs de lutte antifraude et conduit des missions d'investigation en exploitant les données comptables et financières. Romain Maillard est certified fraud examiner et diplômé de Neoma (ESC Rouen).
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: DAF
Copyright 2017 DAF Magazine
tous droits réservés
396 of 500 DOCUMENTS
Relation Clients
20 septembre 2017
Edition 1
CE QUE LE RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES VA CHANGER
AUTEUR: Gérard Haas, avocat à la cour d'appel de Paris, cabinet Haas Avocats
RUBRIQUE: MÉTIERS ET RH | EXPERTISE; Pg. 46
LONGUEUR: 674 mots
ENCART: La nouvelle réglementation européenne qui vise à renforcer la protection des données personnelles nécessite d'établir une gouvernance de la data au sein de l'entreprise.
Les objectifs du législateur européen exprimés à travers le Règlement général pour la protection des données (RGPD) sont multiples. Il s'agit de créer un cadre renforcé et harmonisé tenant compte des récentes évolutions technologiques et des défis qui accompagnent ces évolutions. L'individu est placé au coeur du dispositif légal et voit ainsi ses droits renforcés.
Sous l'impulsion du RGPD sont ainsi renforcés les devoirs et responsabilités de toute la chaîne d'acteurs. Ces contraintes s'appuient notamment sur les principes de "privacy by design" et "d'accountability". Concrètement, cela signifie que chaque entreprise doit se doter d'une politique de protection des données globale en s'assurant, dès le moment de la conception, que le nouveau service qu'elle s'apprête à lancer sur le marché et qui va lui permettre de collecter des données est bien conforme à la réglementation. Il s'agit de responsabiliser chaque acteur en l'obligeant à s'engager dans une démarche globale vertueuse visant à la protection de la vie privée. Et les sanctions, elles aussi, se renforcent. Alors qu'il y a peu, la Cnil ne pouvait aller au-delà d'une amende de 150000 euros, elle pourra dès mai 2018 infliger des sanctions pouvant aller jusqu'à 20 millions d'euros et 4 % du chiffre d'affaires mondial. À bon entendeur... Qui est concerné? Chaque citoyen européen aura la possibilité d'imposer l'application du RGPD et de faire valoir les droits et garanties qui l'accompagnent à toute entreprise (européenne ou non) qui collecte ses données. L'enjeu est de taille car il s'agit ici d'imposer notamment aux géants américains et asiatiques l'application des mêmes règles contraignantes qu'à leurs plus modestes concurrents européens, dès que les données d'un citoyen européen sont collectées et traitées. TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de marketplace, éditeurs d'applications mobiles ou autres dispositifs connectés, etc., tous seront concernés par le RGPD dès lors que des traitements de données à caractère personnel sont effectués. Il est intéressant ici d'observer - car c'est une vraie révolution - que l'on passe d'un système de responsabilité à la logique plutôt verticale à un système de responsabilité plus horizontal, qui place les responsables de traitements et leurs sous-traitants sur un pied d'égalité vis-à vis des sanctions pour nonrespect de la réglementation.
Comment être en conformité avec le RGPD? Se mettre en conformité avec le RGPD suppose de définir au niveau de l'entreprise une gouvernance de la data intégrant la brique juridique à chaque étape de la conception et du lancement de nouveaux services impliquant des traitements de données. Parmi les exemples de mesures nouvelles et déterminantes pour se prémunir contre d'éventuelles sanctions : o désigner un délégué à la protection des données (DPO en anglais), pilier central de ces différentes mesures; o renforcer son dispositif contractuel concernant les garanties de confidentialité; o assurer en interne la mise en place d'un référentiel sécurité adéquat et mis à jour (charte utilisateurs des SI, politique d'habilitation, politique de gestion des incidents etc.); o réaliser des études d'impact. Les études d'impact ont en effet vocation à se généraliser et visent les traitements dits "à risque". Elles vont permettre aux responsables de traitements comme aux fournisseurs de solutions permettant lesdits traitements d'être en mesure de justifier du niveau de garantie proposé en termes de protection des données.
Le règlement est en vigueur depuis le 24 mai dernier et sera pleinement applicable le 25 mai 2018. Si de nombreuses entreprises n'ont pas encore débuté le chantier de la mise en conformité, d'autres l'ont déjà entamé depuis plusieurs mois. Ce nouveau cadre doit être vécu plus comme une opportunité que comme une contrainte car il permet de créer de la confiance et de valoriser la qualité des données. ¦ ¦ L'INTÉGRALITÉ DE L'EXPERTISE est à découvrir sur relationclientmag.fr
DATE-CHARGEMENT: 12 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: RLC
Copyright 2017 Relation Clients
tous droits réservés
397 of 500 DOCUMENTS
Le Figaro
Mardi 19 Septembre 2017
Données personnelles : l'UE demande des gages aux États-Unis;
La commissaire européenne Vera Jourova vérifie l'application du Privacy Shield par la NSA, le FBI et la CIA.
AUTEUR: Braun, Elisa
RUBRIQUE: TECH; Pg. 25 N° 22739
LONGUEUR: 503 words
INTERNET
Une étape cruciale pour l'économie numérique et la vie privée de millions d'Européens se joue discrètement cette semaine à Washington. Depuis lundi, la commissaire européenne chargée de la justice et des consommateurs, Vera Jourova, ainsi que plusieurs membres du groupement des autorités de protection des données (le G29) rencontrent plusieurs agences de renseignements (FBI, NSA, CIA), des représentants de la chambre du commerce, de la chambre des transports, de l'autorité de la concurrence (FTC) ainsi que des ONG.
Cette délégation européenne exceptionnelle vient vérifier que le Privacy Shield est bien appliqué et en demandera des preuves lors d'échanges sous secret défense. « En cas de négligences ou de non-respect du Privacy Shield, nous exigerons des changements rapides, ou en dernier ressort sa suspension », affirme la commissaire Vera Jourova, qui rendra ses conclusions dans un rapport d'ici à fin octobre.
Le G29, dont plusieurs membres sont présents, se réserve également le droit de publier sa propre analyse. « Nous sommes désireux d'assurer que cet accord soit bel et bien robuste et nous sommes en ce sens dans la ligne de la cour de justice de l'Union européenne », explique Isabelle Falque-Pierrotin, à la fois présidente de la Cnil et du G29.
Souveraineté européenne
Parmi les 2 400 entreprises qui ont besoin du Privacy Shield pour leurs activités, il n'y a pas seulement les grands noms du numérique (Google, Facebook, Amazon, Microsoft, Oracle). Un millier de PME en sont dépendantes. Elles y trouvent un cadre juridique simple pour s'établir sur les marchés aussi bien européens qu'américains, sans multiplier les frais d'avocats. « Un désaccord autour du bouclier pourrait signer la fin de relations commerciales entre les deux continents et une catastrophe économique de plusieurs milliards d'euros », avertit Thomas Boué,
directeur général de la zone Europe, Moyen-Orient, Afrique de la Business Software Alliance, qui défend les intérêts d'acteurs de l'industrie des logiciels.
Le succès du Privacy Shield est aussi impératif pour la pérennité du modèle européen. « Après la crise de confiance d'Edward Snowden (l'auteur des fuites sur le programme secret américain de surveillance, NDLR), les citoyens ont eu des attentes. Et le G29 est convaincu qu'un haut niveau de protection des données peut y répondre, estime Isabelle Falque-Pierrotin. Loin d'être un désavantage dans l'économie des données, cela peut constituer un avantage concurrentiel et devenir un standard mondial. »
L'Europe ne cache pas ses ambitions de devenir le régulateur de référence de l'économie des données. Sous les noms de RGPD (pour Règlement général sur la protection des données) ou encore ePrivacy, le Vieux Continent a entrepris un imposant chantier législatif autour des données. Celles-ci sont devenues un ressort pour peser sur l'économie mondiale, très largement dominée par des entreprises américaines, ainsi qu'un enjeu de souveraineté politique face aux pratiques d'espionnage de masse. -
DATE-CHARGEMENT: 19 Septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
398 of 500 DOCUMENTS
Le Figaro Économie
Mardi 19 Septembre 2017
Données personnelles : l'UE demande des gages aux États-Unis
AUTEUR: Braun, Elisa
RUBRIQUE: TECH; Pg. 25 N° 22739
LONGUEUR: 503 mots
INTERNET Une étape cruciale pour l'économie numérique et la vie privée de millions d'Européens se joue discrètement cette semaine à Washington. Depuis lundi, la commissaire européenne chargée de la justice et des consommateurs, Vera Jourova, ainsi que plusieurs membres du groupement des autorités de protection des données (le G29) rencontrent plusieurs agences de renseignements (FBI, NSA, CIA), des représentants de la chambre du commerce, de la chambre des transports, de l'autorité de la concurrence (FTC) ainsi que des ONG. Cette délégation européenne exceptionnelle vient vérifier que le Privacy Shield est bien appliqué et en demandera des preuves lors d'échanges sous secret défense. « En cas de négligences ou de non-respect du Privacy Shield, nous exigerons des changements rapides, ou en dernier ressort sa suspension », affirme la commissaire Vera Jourova, qui rendra ses conclusions dans un rapport d'ici à fin octobre. Le G29, dont plusieurs membres sont présents, se réserve également le droit de publier sa propre analyse. « Nous sommes désireux d'assurer que cet accord soit bel et bien robuste et nous sommes en ce sens dans la ligne de la cour de justice de l'Union européenne », explique Isabelle Falque-Pierrotin, à la fois présidente de la Cnil et du G29.
Souveraineté européenne
Parmi les 2 400 entreprises qui ont besoin du Privacy Shield pour leurs activités, il n'y a pas seulement les grands noms du numérique (Google, Facebook, Amazon, Microsoft, Oracle). Un millier de PME en sont dépendantes. Elles y trouvent un cadre juridique simple pour s'établir sur les marchés aussi bien européens qu'américains, sans multiplier les frais d'avocats. « Un désaccord autour du bouclier pourrait signer la fin de relations commerciales entre les deux continents et une catastrophe économique de plusieurs milliards d'euros », avertit Thomas Boué, directeur général de la zone Europe, Moyen-Orient, Afrique de la Business Software Alliance, qui défend les intérêts d'acteurs de l'industrie des logiciels. Le succès du Privacy Shield est aussi impératif pour la pérennité du modèle européen. « Après la crise de confiance d'Edward Snowden (l'auteur des fuites sur le programme secret américain de surveillance, NDLR), les citoyens ont eu des attentes. Et le G29 est convaincu qu'un haut niveau de protection des données peut y répondre, estime Isabelle Falque-Pierrotin. Loin d'être un désavantage dans l'économie des données, cela peut constituer un avantage concurrentiel et devenir un standard mondial. » L'Europe ne cache pas ses ambitions de devenir le régulateur de référence de l'économie des données. Sous les noms de RGPD (pour Règlement général sur la protection des données) ou encore e Privacy, le Vieux Continent a entrepris un imposant chantier législatif autour des données. Celles-ci sont devenues un ressort pour peser sur l'économie mondiale, très largement dominée par des entreprises américaines, ainsi qu'un enjeu de souveraineté politique face aux pratiques d'espionnage de masse. -
DATE-CHARGEMENT: 19 Septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
399 of 500 DOCUMENTS
Les Echos
mardi 19 septembre 2017
Une réglementation qui va bousculer le secteur
AUTEUR: SHARON WAJSBROT
RUBRIQUE: ARTICLE_SOUS; Séparer le bon grain de l'ivraie; Pg. 28 N°. 22532
LONGUEUR: 537 mots
ENCART: Outre ses contraintes informatiques lourdes, le règlement européen ouvre des perspectives commerciales pour les banques en tant que tiers de confiance.
Le règlement général sur la protection des données personnelles (RGDP) recèle de nouvelles contraintes pour les banques. Il les oblige à rendre des comptes au régulateur sur l'usage des données personnelles inscrites dans leurs livres de crédit, leur stockage, les conditions de leur collecte, etc. Mais il a aussi l'avantage de s'appliquer à l'ensemble des entreprises qui utilisent les informations personnelles des citoyens européens, y compris aux fameux Gafa. Tour d'horizon des principaux enjeux.
Séparer le bon grain de l'ivraie
L'entrée en vigueur du règlement va exiger des acteurs qui traitent les données personnelles un niveau de rigueur inédit. De quoi, aux yeux de certains, renforcer la confiance des clients, notamment envers leur banque. « Contrairement aux géants du Web, les banques n'exploitent pas, ou très peu, les données de leurs clients, c'est une de leurs forces », fait valoir Thierry Mennesson, partner chez Oliver Wyman. « On peut anticiper que le RGPD encourage la progression des transactions en ligne, car il permettra de faire le tri entre les prestataires sérieux et les autres », espère encore un banquier.
Le Graal du statut de tiers de confiance
Dans un monde où les clients reprennent le pouvoir sur leurs données, la répartition des rôles entre les différents prestataires de services peut se voir bousculée. « Certains acteurs peuvent se positionner pour offrir aux particuliers la possibilité de vérifier quelles informations sont dans les mains de quelles entreprises. D'autres acteurs peuvent aussi développer des services de "coffre-fort" de données pour centraliser les données de clients particuliers, obligeant les entreprises à passer par leur plate-forme pour accéder à ces informations. Dans ces domaines, les banques peuvent développer des services pour rester au centre du jeu et s'assurer de ne pas se faire piller leurs données », fait valoir Thierry Mennesson. Elles viendraient alors concurrencer les Gafa qui se sont largement imposés dans ce domaine...
Certaines banques devront faire des choix
« Dans les prochaines années, nous pourrions voir différentes stratégies se dessiner : certaines banques se revendiquant coffre-fort de données et d'autres préférant se concentrer sur le financement et sous-traiter ces aspects », estime encore Thierry Mennesson. En la matière, les plus gros acteurs posent des jalons stratégiques.
La banque espagnole BBVA a, par exemple, ouvert une plate-forme pour permettre à des start-up de créer des services grâce aux données personnelles de ses clients. En France, Société Générale revendique aussi des ambitions stratégiques liées au règlement européen. « Nous n'avons pas traité ce règlement comme un seul sujet de conformité. Le chantier RGDP a été placé sous le sponsoring de Bernardo Sanchez Incera, directeur général délégué en charge de la banque de détail, des services financiers et de l'assurance, car il représente aussi une opportunité de développer de nouveaux services », confirme Emmanuelle Payan, chief data officer de Société Générale.
Voir aussi:
[31/07/2017] Données personnelles : les entreprises peu au fait de l'impact du règlement européen
Voir aussi:
[24/10/2016] Travailler comme les GAFA
DATE-CHARGEMENT: 19 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
400 of 500 DOCUMENTS
Le Figaro Online
lundi 18 septembre 2017 06:00 AM GMT
Aux États-Unis et en Europe, le parcours du combattant des victimes de piratages
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 1065 mots
ENCART: Les victimes de piratage doivent affronter de nombreux obstacles pour se retourner contre les responsables des fuites de leurs données personnelles.
Dropbox, Yahoo, Equifax... Au fil des piratages de ces grandes entreprises, la sécurité des données personnelles est devenue un sujet de préoccupation majeur pour des centaines de millions de victimes de vols, qui révèlent parfois tous les détails de leur vie privée sur Internet. Le sujet pourrait prochainement s'inviter au sein de la Cour Suprême américaine, selon une décisionrendue le 6 septembre par la Cour d'appel du district de Columbia. Ce tribunal fédéral s'en est remis à la plus haute juridiction des États-Unis pour se prononcer sur un litige opposant des citoyens à CareFirst, une entreprise d'assurance maladie piratée en 2014. Cette attaque avait entraîné la divulgation des informations personnelles d'1,1 million de personnes, dont certaines ont été victimes d'usurpation d'identité. Sept d'entre elles demandent réparation pour le préjudice subi à CareFirst qu'elles accusent de «négligence».
Des recours croissants
S'il aboutit, le cas de CareFirst pourrait être déterminant pour les futures victimes de vol de données personnelles. Paradoxalement, ce ne sont pas les plaignants qui ont souhaité que la plainte remonte aussi haut, mais CareFirst elle-même. L'entreprise regrette le flou entourant la notion de préjudice lié au vol de données personnelles, ainsi qu'un manque d'uniformité juridique entre les différents États américains à ce sujet. Cette situation d'incertitude est un motif d'inquiétude pour les entreprises, dans un pays où les recours collectifs peuvent coûter des dizaines de millions de dollars de frais de justice. La Cour Suprême pourrait donc trancher sur la responsabilité présumée des entreprises en cas d'attaques informatiques ainsi que sur la nature juridique des préjudices subis par les victimes. «Cette affaire a définitivement le potentiel pour aller jusqu'à la Cour suprême, note l'avocat spécialiste de la vie privée Adam Greene sur le site Bank Info Security, car il n'y a pas de consensus sur cette question parmi les tribunaux. Mais cela peut encore être long en raison du nombre limité de cas que la Cour suprême peut accepter».
Le fait qu'un recours collectif lié à un vol de données personnelles puisse franchir les portes de la Cour suprême marque aussi une nouvelle perception du droit à la vie privée aux États-Unis. Alors que l'Europe le considère comme un droit fondamental, il est considéré, outre-Atlantique, comme un bien cessible. Longtemps, les recours collectifs pour violation de données personnelles ont donc abouti à des ententes tacites, sans que des sanctions fermes soient prononcées à l'encontre des responsables des failles. Le 17 août 2015, Adobe avait ainsi payé une somme (non divulguée) aux victimes qui l'avaient attaqué en justice grâce à un recours collectif. Alors qu'Equifax vient de révéler l'une des failles de sécurité informatiqueles plus graves jamais déclarées aux États-Unis, une trentaine d'actions en justice ont déjà été intentées et pourraient être fédérées en class-action lors d'un procès historique.
Un parcours compliqué en France
A l'échelle européenne, d'importants changements sont intervenus afin de renforcer la protection des données à caractère personnel convoitées par les entreprises. Le nouveau Règlement Général des Données Personnelles (RGPD), un texte de loi majeur qui entrera en application dans chaque État membre de l'Union européenne d'ici un an, précise les démarches plus strictes à suivre en cas de piratage, côté entreprises. «Le texte prévoit de consigner toute violation des données à caractère personnel, quel que soit le niveau de gravité de cette violation. Sauf à ce que cette violation n'engendre pas de risques pour les droits et les libertés des personnes, il conviendra également de notifier le régulateur. Si le risque est sérieux, l'entreprise devra même notifier individuellement chaque client» explique l'avocat Claude-Etienne Armingaud, du cabinet K&L Gates. À l'heure actuelle, de nombreuses entreprises victimes de piratages font tout pour le cacher, de crainte de voir leur image publique ternie dans les médias ou devant les tribunaux. Cette communication forcée sur les attaques sera accompagnée, dansl'article 80, de la possibilité d'un recours collectif contre des entreprises jugées responsables d'une violation de données personnelles. «L'article laisse toutefois à la discrétion de chaque État membre le fait de modifier ses lois pour rendre possible une class-action et des dédommagements», précise Anne-Solène Gay, avocate du cabinet Behring.
En France, des mesures allant dans ce sens ont été entamées. La loi sur la modernisation de la justice de 2016 rend ainsi possible le recours collectif, mais avec des conditions telles qu'il est impossible d'y recourir si l'on souhaite obtenir réparation à la suite d'un vol de données. «C'est théoriquement possible mais la voie d'action n'est prévue que pour demander cessation du dommage, et non réparation», explique Anne-Solène Gay. Dans le cadre d'un piratage passé (et donc a priori fini), le recours collectif ne peut donc pas apporter de dédommagements aux victimes. Si la fuite de données est toujours en cours, il peut en revanche forcer l'entreprise à la faire cesser. Il arrive parfois que des failles de cybersécurité existent depuis plusieurs années, comme cela a été le cas pour Ouicar, épinglé en juillet pour violation des données personnelles de ses utilisateurs. Autre subtilité: les plaignants doivent passer par une association de plus de cinq ans. A titre indicatif, une association de défense de la vie privée en ligne comme la Quadrature du Net, dont les statuts ont changé en 2013, ne peut pas constituer de recours collectif avant 2018.
Reste alors la possibilité pour les victimes de mener des actions individuelles, mais «de telles options font moins le poids et sont moins intéressantes financièrement, chaque personne impactée devant payer son avocat», note Claude-Étienne Armingaud. La Commission Nationale pour l'Informatique et les Libertés (CNIL) dispose d'une page dédiée à la rédaction de plaintes pour faire valoir ses droits. Après avoir été informé, le régulateur peut diligenter une enquête et, le cas échéant, prononcer des sanctions. Même en cas de violation des données personnelles, les amendes sont perçues par le Trésor Public, et non par les clients de l'entreprise incriminée.
SERVICE: Avec Panda Security, protégez-vous efficacement contre les virus
DATE-CHARGEMENT: 18 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
401 of 500 DOCUMENTS
Les Echos.fr
lundi 18 septembre 2017
La protection des données personnelles des clients, nouveau chantier des banques
AUTEUR: SHARON WAJSBROT
RUBRIQUE: ARTICLE; Un chantier colossal
LONGUEUR: 617 mots
ENCART: Les acteurs du secteur doivent revoir leurs pratiques avant l'entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD) au printemps 2018.Tous ne seront toutefois pas prêts dans les temps.
L'heure n'est pas encore à la pause réglementaire dans la finance. Certes, le gros de la vague de régulation post-crise de 2008 semble absorbé, mais un nouveau chantier d'ampleur s'est ouvert : celui de la protection des données personnelles des clients.
Mis à l'agenda par la Commission européenne, avec le nouveau règlement général sur la protection des données personnelles (RGDP) qui entrera en vigueur le 25 mai 2018, celui-ci est de nature à changer profondément les règles du jeu pour l'ensemble des entreprises qui en manipulent. De fait, il les contraint à assurer aux clients un « droit à l'oubli », un droit d'accès à leurs données personnelles et un droit à la portabilité de leurs données.
Un chantier colossal
Particulièrement fournies en matière de note de crédit, d'adresses et autres bulletins de salaires qui recèlent d'informations très personnelles, banquiers et assureurs se mobilisent.
« Dans les banques, des études ont été lancées début 2017 pour cartographier les opérations qui utilisent des données personnelles, pour définir de nouvelles politiques de traitement des données et pour centraliser leur traitement afin d'être en mesure de les restituer aux clients qui en feront la demande par exemple. Ces données sont parfois éparpillées dans différentes filiales aux systèmes d'information anciens et très diverses. C'est un travail colossal, les grands acteurs de la finance ont parfois pas loin de 1.000 applicatifs qui gèrent de la donnée personnelle », atteste Julien Sac, Partner chez Sia Partners.
Pour les banques et les assureurs entrer dans les clous de cette réglementation est capital. D'abord pour consolider leur rôle de tiers de confiance auprès des clients face aux GAFA (Google, Apple, Facebook et Amazon). Mais aussi pour éviter de nouvelles sanctions qui, selon la Commission, pourront atteindre jusqu'à 4 % du chiffre d'affaires mondial des entreprises non conformes.
Du retard à l'allumage est ancitipé
Pour autant, huit mois avant l'entrée en vigueur du règlement européen, les spécialistes anticipent déjà du retard à l'allumage. Selon un sondage d'OpinionWay et du cabinet Optimindwinter, réalisé auprès de 104 entreprises (principalement des assureurs, organismes de protection sociale et banques), 35% d'entre elles indiquent qu'elles ne lanceront la revue de leurs processus internes impactés par les nouvelles règles du jeu qu'à partir de janvier 2018, voire après.
L'ampleur des sanctions du régulateur sera déterminante quant à la vitesse de transformation des pratiques.
Par ailleurs, seuls 41 % des acteurs interrogés ont d'ores et déjà désigné leur « délégué à la protection des données », directement responsable de ces questions. « Plus avancées que d'autres secteurs car plus sensibles aux sujets de conformité les banques ne seront toutefois pas toutes d'équerre en 2018. Leurs chantiers informatiques devraient s'étaler au-delà, la destruction des données relatives à d'anciens dossiers sera par exemple un exercice lourd à mettre en oeuvre », prédit Dan Chelly, directeur métier chez Optimindwinter. « Comme pour l'entrée en vigueur de la loi sur les comptes oubliés, l'ampleur des sanctions du régulateur sera déterminante quant à la vitesse de transformation des pratiques... », estime encore un expert.
Ce que dit le nouveau règlement
Selon le règlement européen RGDP, les entreprises doivent être en mesure de garantir à leurs clients le transfert de leurs données personnelles vers une autre entreprise, à partir de mai 2018.
Leurs données doivent aussi pouvoir être effacées définitivement à la demande du client. Enfin, les entreprises doivent s'assurer de les sécuriser, de tracer l'usage qui en est fait et de les mettre à jour.
Contributor:
DATE-CHARGEMENT: 19 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Les Echos
tous droits réservés
402 of 500 DOCUMENTS
Les Echos.fr
lundi 18 septembre 2017
Une réglementation qui va bousculer le secteur
AUTEUR: SHARON WAJSBROT
RUBRIQUE: ARTICLE; · Séparer le bon grain de l'ivraie
LONGUEUR: 541 mots
ENCART: Outre ses contraintes informatiques lourdes, le règlement européen ouvre des perspectives commerciales pour les banques en tant que tiers de confiance.
Le règlement général sur la protection des données personnelles (RGDP) recèle de nouvelles contraintes pour les banques. Il les oblige à rendre des comptes au régulateur sur l'usage des données personnelles inscrites dans leurs livres de crédit, leur stockage, les conditions de leur collecte, etc. Mais, il a aussi l'avantage de s'appliquer à l'ensemble des entreprises qui utilisent les informations personnelles des citoyens européens, y compris aux fameux GAFA. Tour d'horizon des principaux enjeux que représente cet horizon élargi.
· Séparer le bon grain de l'ivraie
L'entrée en vigueur du règlement va exiger des acteurs qui traitent les données personnelles un niveau de rigueur inédit. De quoi aux yeux de certains renforcer la confiance des clients, notamment envers leur banque. « Contrairement aux géants du web, les banques n'exploitent pas, ou très peu, les données de leurs clients, c'est une de leurs forces », fait valoir Thierry Mennesson, partner chez Oliver Wyman. « On peut anticiper que le RGPD encourage la progression des transactions en ligne car il permettra de faire le tri entre les prestataires sérieux et les autres », espère encore un banquier.
· Le Graal du statut de tiers de confiance
Dans un monde où les clients reprennent le pouvoir sur leurs données, la répartition des rôles entre les différents prestataires de services peut se voir bousculée. « Certains acteurs peuvent se positionner pour offrir aux particuliers la possibilité de vérifier quelles informations sont dans les mains de quelles entreprises. D'autres acteurs peuvent aussi développer des services de « coffre-fort » de données pour centraliser les données de clients particuliers, obligeant les entreprises à passer par leur plate-forme pour accéder à ces informations. Dans ces domaines, les banques peuvent développer des services pour rester au centre du jeu et s'assurer de ne pas se faire piller leurs données », fait valoir Thierry Mennesson. Elles viendraient alors concurrencer les GAFA qui se sont largement imposés dans ce domaine...
·Certaines banques devront faire des choix
« Dans les prochaines années, nous pourrions voir différentes stratégies se dessiner : certaines banques se revendiquant coffre-fort de données et d'autres préférant se concentrer sur le financement et sous-traiter ces aspects », estime encore Thierry Mennesson. En la matière, les plus gros acteurs posent des jalons stratégiques.
La banque espagnole BBVA a par exemple ouvert une plate-forme pour permettre à des start-up de créer des services grâce aux données personnelles de ses clients. En France, Société Générale revendique aussi des ambitions stratégiques liées au règlement européen. « Nous n'avons pas traité ce règlement comme un seul sujet de conformité. Le chantier RGDP a été placé sous le sponsoring de Bernardo Sanchez Incera, directeur général délégué en charge de la banque de détail, des services financiers et de l'assurance car il représente aussi une opportunité de développer de nouveaux services », confirme, Emmanuelle Payan, chief data officer de Société Générale.
Contributor:
Voir aussi:
[31/07/2017] Données personnelles : les entreprises peu au fait de l'impact du règlement européen
Voir aussi:
[24/10/2016] Travailler comme les GAFA
DATE-CHARGEMENT: 19 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Les Echos
tous droits réservés
403 of 500 DOCUMENTS
Economie Matin
14 septembre 2017 03:12 AM GMT
Quand les autoroutes de l'information prennent le contrôle de nos données personnelles... et de notre réputation
LONGUEUR: 969 mots
Imaginez que vous entriez sur une autoroute et, qu'une fois le péage franchi, une voix vous susurre à l'oreille : " à partir de maintenant et jusqu'au moment où tu sortiras de l'autoroute, je serai derrière toi à chaque instant tout ce que tu diras, tout ce que tu feras, je le saurai et je le raconterai à qui voudra me payer pour le savoir ! " Vous avez dit cauchemar ? Bienvenue sur les autoroutes de l'information ! En avril 2017, le président Donald Trump a mis fin un débat qui durait depuis plusieurs semaines.
En vertu des règles de confidentialité adoptées par la Federal Communications Commission en Octobre 2016, à l'ère Obama, les Fournisseurs d'Accès à Internet aux Etats-Unis avaient l'obligation de recueillir le consentement préalable des consommateurs avant de partager avec des tiers leurs données de navigation. Désormais ces exigences n'ont plus cours et les FAI américains ont le champ libre. Les VPN, réseaux privés censés garantir la confidentialité de notre navigation, deviennent l'unique solution pour protéger notre vie privée. Désormais, les FAI américains peuvent disposer de toutes les données collectées, depuis le moment où l'internaute est connecté, jusqu'au moment de sa déconnexion. Quand l'or de la donnée consommateur devient platine Avec plus de 100 millions d'internautes, et à un prix évalué entre 15 centimes et 15 euros le contact, l'enjeu financier est énorme. Les FAI américains viennent donc de mettre la main sur une mine d'or inépuisable, qui leur rapportera bientôt plus d'argent que leur activité actuelle. En effet, alors que les Linked In, Google et autres Criteo, n'ont qu'une vue réduite à un instant T de nos transactions, les FAI en ont une vue la plus large possible. Ils connaissant TOUTES nos interactions de manière très fine. La qualification qu'ils offrent étant la meilleure possible, les fichiers sont revendus plus chers. C'est ainsi que l'ère Trump a transformé l'or de la data en platine pour les FAI. Une économie e-marchande basée sur la donnée En France, si les FAI ne sont pas autorisés à divulguer nos informations sans notre consentement, chacun de nos " gestes " sur Internet n'en est pas moins épié et enregistré. En fait, c'est un peu comme si un espion était penché au dessus-de notre épaule pour regarder tout ce que nous faisons avec notre smartphone ou notre PC. En cliquant sur " j'accepte " sur chaque site que vous visitez ou en utilisant un moteur de recherche, vous autorisez les cookies à recueillir vos données de navigation. Ces données mises bout à bout permettent de dessiner votre profil, vos préférences et vos attentes en termes de produits et services à un instant T. Ces informations sont essentielles pour permettre aux annonceurs de vous proposer leur offre, au bon moment et de la meilleure manière. SMS, SPAM et nos données offertes aux réseaux sociaux Ceci explique en majeure partie pourquoi nous recevons quotidiennement des SMS, des mails et autres spams. Essayer de se désabonner de ces nombreuses bases de données est extrêmement lourd. L'utilisation de nos données personnelles est d'autant plus difficile à maîtriser que la plupart du temps nous les offrons nous-mêmes aux réseaux sociaux. Essayez d'écrire un statut Facebook en utilisant des mots clés comme " vacances " ou " douche " et vous verrez s'afficher des propositions sur ces thèmes, à droite de votre écran ou comme lien sponsorisé dans votre fil de discussion. Voilà comment la donnée est devenue la matière première la plus convoitée et la plus valorisée dans le monde. Ce n'est pas un hasard si Facebook et Google tirent leur puissance financière de la publicité digitale, en ayant ravi plus de la moitié des budgets annonceurs, au nez et à la barbe de la télévision. Entre exigences économiques et liberté individuelle La question philosophique de la propriété des données se pose mais l'économie digitale a déjà décidé pour nous. Si la CNIL interdit la constitution de fichiers nominatifs sans déclaration, à part pénaliser le fichage sur des bases ethniques ou religieuses, elle n'est pas en mesure d'interdire la constitution de fichiers stricto sensu. Dans le modèle américain, le 1er amendement s'oppose à toute tentative d'interdire a diffusion d'une information, même si elle nous porte préjudice. La culture française, soucieuse des libertés individuelles tente de résister à cette mouvance du tout ciblage, mais pour combien de temps ? La RGPD, qui oblige les entreprises européennes à protéger les données de consommateurs y changera t-elle quelque chose ? Pour l'instant, beaucoup d'entreprises françaises sont dans le flou sur cette réglementation qui s'imposera à elles fin mai 2018. Données publiques étatiques, données d'entreprises et données privées : pas le même combat Quand l'information qui est volée appartient à l'état, toutes les mesures sont mises en oeuvre pour garantir l'intégrité de ces données et la supprimer d'Internet. En revanche, si c'est une personne privée qui demande la suppression de cette information personnelle, elle sera quasi systématiquement refusée. Nous avons un droit à l'image mais si notre image circule sur internet sans qu'on l'ait demandé, Google refusera de la supprimer sauf si nous sommes en mesure de faire valoir une propriété intellectuelle. Sinon, l'image restera en ligne. L'inégalité est bien là. A l'ère internet, les individus sont livrés à eux-mêmes, entre le don volontaire ou involontaire de leurs données personnelles et l'impossibilité de recours au cas où des éléments dommageables pour leur réputation sont " imprimés " en ligne. Dans cette situation extrême et qui peut détruire une réputation et potentiellement une vie, il est indispensable de ne pas rester seul et de se faire accompagner de professionnels de l'e-réputation, le plus rapidement possible.
DATE-CHARGEMENT: 18 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
404 of 500 DOCUMENTS
Economie Matin
11 septembre 2017 04:20 AM GMT
RGPD : êtes-vous prêt ?
LONGUEUR: 923 mots
Votée le 27 avril 2016, la RGPD - Règlement général sur la protection des données - entrera en vigueur le 25 mai 2018. La réglementation laisse ainsi un peu plus de deux ans aux entreprises pour se mettre en conformité et adopter de bonnes pratiques en termes de sécurité informatique et de protection des données personnelles. Pour des organisations qui n'ont pas l'habitude de faire de la sécurité par défaut une priorité, la RGPD impose un chantier qui peut être colossal. Agrave; moins d'un an de l'échéance, les entreprises françaises sont à la traîne. RGPD : la sécurité au premier plan Aujourd'hui, chaque pays a sa propre législation plus ou moins stricte sur l'utilisation des données personnelles.
Avec la multiplication des fuites de données suite à des attaques (Yahoo, Sony, TalkTalk, etc.), ou des manipulations de grandes entités comme les GAFA (Google, Apple, Facebook et Amazon), la nécessité d'agir est globale. C'est tout l'intérêt de la RGPD, la première mesure supranationale qui régule l'utilisation des données personnelles pour les entreprises et les institutions privées ou publiques. Visant à homogénéiser la réglementation déjà existante, la RGPD sera appliquée de façon systématique aux 28 membres de l'union Européenne, sans mesure " à la carte ". La réglementation impose de nombreuses contraintes pour les entreprises. En effet, la RGPD encadre l'utilisation des données personnelles et redonne le pouvoir au consommateur en lui offrant le droit d'accéder aux informations qui le concernent, le droit à l'oubli, le droit à la portabilité et un droit d'opposition. Des mesures d'autant plus importantes que les données sont utilisées par les entreprises dans le cadre d'une relation commerciale ou d'une démarche marketing. La RGPD restitue ainsi la propriété des données aux citoyens, et non plus aux entreprises. Néanmoins, au-delà de ces deux axes majeurs, la RGPD vient surtout placer la sécurité informatique au centre des préoccupations des entreprises. Alors qu'elle a toujours été appréhendée comme une contrainte pour les comités directeurs, ces derniers n'ont désormais plus d'autre choix que de l'intégrer par défaut à chaque projet - une règle de bon sens s'il en est. Le coût humain et technique de cette sécurité, les process qu'elle impose, les nouveaux outils et les formations qu'elle nécessite rendent la RGPD impopulaire auprès des entreprises. Néanmoins, celles-ci gagneront à investir dans ce profond changement sur le long terme. Qui est concerné et que risquez-vous ? Cette nouvelle réglementation s'adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données personnelles des citoyens européens. D'une part, elle a vocation à renforcer la législation en matière de protection des données personnelles et, d'autre part, à l'harmoniser au sein de l'Union Européenne. Il s'agit également, à l'heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données. De fait, le 25 mai 2018, toute organisation manipulant des données à caractère personnel de résidents ou citoyens de l'Union Européenne devra s'être conformée à cette réglementation qui s'inscrit dans la programme de " Marché unique numérique ". De quoi faire plier, entre autres, Google et Amazon ? Il vaudrait mieux. En effet, en cas de non-respect de la réglementation, la RGPD prévoit une sanction dont le montant pourrait culminer jusqu'à 4 % du chiffre d'affaires annuel ou 20 millions d'euros, le chiffre le plus élevé étant retenu. RGPD : 2 priorités pour l'échéance mai 2018 La mise en place de mesures visant à se conformer à la RGPD est un chantier chronophage et onéreux pour les entreprises. Néanmoins, si le coût de la mise en oeuvre de ces changements nécessaires sont élevés, ils permettent d'améliorer la gestion des données internes et externes, d'alléger les bases de données et de parfaire la documentation. Un investissement qui devrait pousser les entreprises réfractaires à gagner en efficacité et en productivité. Pour s'assurer d'être prêt le jour J, deux priorités sont à respecter. D'une part, un nouveau profil exigé par la réglementation doit être créé. Un Délégué à la Protection des Données (DPO) devra ainsi veiller à la bonne application de la RGPD dans l'entreprise, en reportant directement au comité directif. D'autre part, les entreprises qui ne l'ont pas encore fait doivent sans tarder réaliser un audit d'impact sur la protection des données, afin de faire un état des lieux de leur sécurité. Où sont stockées les données manipulées ? Quels process mettre en place pour les sécuriser ? Comment intégrer la sécurité par défaut à l'ensemble des projets ? Voilà les questions qu'il devient désormais urgent de se poser avant de se lancer dans cette grande transformation dont les étapes varient selon les entreprises, leurs besoins et leurs activités. L'échéance est très proche. Les changements chronophages exigés par la réglementation RGPD devront désormais être actés dans moins d'un an : il est temps, pour les entreprises, de dépasser la phase d'évaluation d'exposition aux risques et d'activer progressivement ces nouveaux process pour éviter toute pénalisation dès le 25 mai 2018. Compte-tenu de l'importance des enjeux et des sanctions en cas de non-respect de la réglementation, les entreprises, notamment celles qui traitent un important volume de données à caractère personnel, ont tout intérêt à bien s'entourer pour faire de la sécurité LA priorité.
DATE-CHARGEMENT: 14 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
405 of 500 DOCUMENTS
Economie Matin
7 septembre 2017 03:44 AM GMT
Le chiffrement des données : une étape critique vers la conformité au RGPD ?
LONGUEUR: 949 mots
2016 enregistre des résultats record en termes de failles et de violations d'informations sensibles. Au total, près de 1 792 incidents ont été constatés et sont responsables de la perte de 1,4 milliards de données [1]. Entre le piratage de la campagne présidentielle d'Emmanuel Macron, l'épisode de Phishing sur Google Docs et les attaques de rançongiciel WannaCry et NotPetya, peu sont les secteurs qui ont été épargnés. Ces événements ont contribué à la sensibilisation des responsables sécurité et des utilisateurs finaux aux risques auxquels les données sont exposées. Les entreprises comprennent désormais l'importance de mettre en place des solutions de sécurité efficaces et la nécessité de former davantage les employés aux risques éventuels. Le chiffrement gagne en popularité grâce à sa capacité à rendre les données volées inutilisables à quiconque n'ayant pas été autorisé à y accéder.
Lorsqu'elles envisagent de chiffrer leurs données, les entreprises doivent d'abord comprendre le type de données qu'elles produisent ou qu'elles gèrent, et identifier celles qui sont les plus sensibles et les plus convoitées. Seule la compréhension des caractéristiques et des attributs de ces dernières peut leur permettre d'avancer dans une démarche vertueuse. Le chiffrement est donc un bon moyen de protéger les données et nécessite de le faire avec rigueur et méthode. Dans un environnement de plus en plus hybride, une des solutions au contrôle des données chiffrées, est l'implémentation d'une stratégie de gestion des clés de chiffrement. Les clés de chiffrement sont essentielles pour débloquer des données sécurisées. Elles assurent un contrôle nécessaire des accès à ces dernières, et permettent ainsi aux entreprises, et surtout aux clients, d'être maîtres de leurs propres données. La meilleure approche est de stocker ces clés de chiffrement dans du matériel informatique spécialement conçu à cet effet pour empêcher tout piratage. Sinon, cela revient à équiper sa maison avec une solution hautement sécurisée et mettre la clé de la porte d'entrée sous le paillasson, la laissant ainsi accessible à n'importe quelle personne mal intentionnée. La confiance client, au centre du débat Au-delà du risque financier, clairement expliqué dans le Règlement Général sur la Protection des Données (RGPD), si des solutions de protection des données ne sont pas mises en place, les entreprises exposent leur réputation, leur image de marque et compromettent une relation de confiance avec leurs clients acquise parfois de longue haleine. Plus que jamais, les clients commencent à comprendre les dangers liés au partage et à l'hébergement de données en ligne. Selon une étude réalisée par le CXP auprès d'entreprises en France sur la cyber-conformité, 51% des personnes interviewées considèrent que les projets de mise en conformité contribuent à soigner la perception extérieure que les clients ont de leur entreprise. Jusqu'à ce que le RGPD entre en vigueur en mai 2018, les entreprises européennes ne sont pas tenues de révéler les pertes de données subies. Cette absence d'information rend difficile l'évaluation du coût véritable d'une faille en Europe et l'impact possible sur la confiance des clients concernés. Il y a quelques années encore, il était rare pour une entreprise d'être impliquée publiquement dans de tels problèmes. C'est désormais une réalité pour un très grand nombre d'organisations et le RGPD devrait réveiller les consciences sur les conséquences possibles ainsi que les moyens à mettre en oeuvre pour éviter les pertes de données. La gestion des accès, un aspect incontournable Pour renforcer leur politique de sécurité, il est recommandé aux entreprises de revoir plus précisément les moyens d'accéder aux données sensibles à forte valeur. Le chiffrement est souvent présenté comme un moyen de protection efficace et doit être associé à une réelle stratégie globale de protection des accès aux données chiffrées. La meilleure approche est l'adoption de l'authentification forte qui requiert l'utilisation simultanée d'au moins deux facteurs d'identification. Pour remplacer le traditionnel tandem identifiant / mot de passe facile à subtiliser, l'utilisateur doit être en possession d'une part, d'un dispositif spécifique (téléphone, token USB, email, etc.) et d'autre part d'un code ou un mot de passe qui se renouvelle en permanence. De plus en plus d'entreprises ont désormais recours à ce type de sécurité, mais la généralisation de ces solutions reste à venir Responsabiliser chacun, un enjeu majeur Le RGPD entrera en vigueur dans moins d'un an. Les échéances sont donc clairement identifiées ainsi que la responsabilité portée par les détenteurs des données. C'est donc maintenant que les entreprises doivent s'y préparer avant d'être impactées financièrement ou que leur réputation ne soit compromise. Il reste à accélérer le mouvement pour que les entreprises prennent pleinement conscience des conséquences liées à un défaut de conformité et aux pertes de données sensibles. A cet effet, la sensibilisation et la protection des données doivent être intégrées à la culture d'entreprise et faire l'objet de formations et de cessions d'information régulières pour l'ensemble des salariés et du management. Au-delà de la contribution des services Informatiques, la sécurité des données est l'affaire de tous et de toutes. Elle doit être également prise en compte en amont dans l'innovation et le développement de nouveaux services ou de nouvelles solutions par l'entreprise. Cette démarche vertueuse permettra aux acteurs d'être en conformité à moindre coût avec les dernières réglementations. [1] Gemalto, Breach Level Index 2016
DATE-CHARGEMENT: 11 septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
406 of 500 DOCUMENTS
L'Express
7 Septembre 2017
50 IDÉES INNOVANTES
AUTEUR: Bogdan Bodnar; Adélaïde Lassalle
RUBRIQUE: Pg. 30 N°. 42
LONGUEUR: 4436 mots
ENCART: Vous voulez créer votre entreprise, mais vous hésitez sur le secteur, le produit ? Voici une sélection de start-up qui ont su répondre à un besoin ou à une tendance. De quoi vous inspirer ou vérifier l'originalité de votre concept.
100 % ÉCOLO L'ÉOLIEN EN VILLE
La start-up Unéole, fondée par Quentin Dubrulle, en 2014, a mis au point une éolienne urbaine, design et silencieuse. De petite taille, elle se pose sur les toits plats des bâtiments. Son axe de rotation vertical est adapté au vent tourbillonnant des villes. Autre innovation : elle est fabriquée à 95 % dans les Hauts-de-France avec des matériaux biosourcés. Uneole est aussi intelligente, car elle est connectée à une application, Meswatts, permettant de gérer la consommation énergétique et de réduire la facture.http://uneole.fr
UN ROBOT QUI VOUS VEUT DU BIEN
Quand on passe sa vie au bureau, mieux vaut le faire dans les meilleures conditions. Conçu à l'origine pour purifier l'air dans les espaces de travail, Diya One X est un robot imaginé par Ramesh Caussy, en 2015, et proposé à la location aux entreprises. Diya analyse la luminosité, la température et l'hygrométrie et agit directement pour améliorer l'environnement. Le robot peut même émettre des « chut » pour inciter les collaborateurs à réduire leur volume sonore.www.partnering-robotics.com
TISSAGE NATUREL
La séricine est une protéine produite par les vers à soie qui permet à leurs cocons de rester solides et compacts. Clara Hardy, designer, et Constance Madaule, ingénieur agronome, ont eu l'idée, en 2015, d'utiliser les talents des chenilles du mûrier, élevées par des sériciculteurs en France et en Europe, pour fabriquer des pièces textiles, des luminaires ou autres décorations. Les vers sont placés sur des moules, et tissent directement sur la surface l'objet imaginé par les entrepreneuses. La start-up Sérycine a déjà tissé des liens avec des grandes enseignes de luxe.www.sericyne.fr
STOP DOUCHE
Qui ne s'est jamais éternisé sous la douche, perdu dans ses pensées ? Pour éviter que nos divagations ne pèsent trop sur notre consommation d'eau, Gabriel Della-Monica a lancé, en 2016, Hydrao First, un pommeau de douche pour maîtriser en temps réel le volume d'eau consommé et l'énergie pour la chauffer. Grâce à son système LED intégré, le pommeau passe du vert au rouge quand la dépense d'eau devient excessive. Le produit possède sa propre application mobile qui permet à l'utilisateur de garder en mémoire sa consommation d'eau.www.hydrao.fr
Manger de l'eau ? C'est le pari de la bille Swala. Marc Joussé et Romain Lefeuvre, deux ingénieurs Arts et Métiers, ont conçu une « dose hydratante » composée d'une membrane en alginate, un extrait d'algue brune, à l'intérieur de laquelle est encapsulée de l'eau aromatisée. Une solution pratique et écologique qui évite les déchets plastiques. Swala a déjà fait ses preuves, en mai dernier, à l'occasion de la Grande course du Grand Paris, au cours de laquelle 30 000 billes ont été distribuées.www.swala.com
UN RAYON DE SOLEIL
En 2015, Stéphane Rachmuhl et Antoine d'Acremont lançaient Rool'in, une roue électrique qui s'adapte à n'importe quel vélo et qui permet de rouler sans effort. Les deux entrepreneurs continuent sur leur lancée avec E-Sunny, une nouvelle version qui utilise l'énergie solaire pour alimenter la roue. Grâce à la présence de cellules photovoltaïques, Rool'in se recharge automatiquement aussi bien à l'arrêt qu'en mouvement et permet de rouler jusqu'à 20 kilomètres par jour.www.rool-in.com
L'ÉLECTRIQUE FACILE
Titulaire d'un master en informatique, Yoann Nussbaumer a convié, en 2011, la communauté des propriétaires de voitures électriques à localiser tous les points de recharge à travers la France et l'Europe. Avec près de 40 000 points référencés dans une vingtaine de pays et plus de 100 000 contributeurs, l'application Chargemap s'est fait une place incontestable dans la communauté des conducteurs de voiture électrique. Depuis juin 2017, la start-up a développé une solution d'accès privilégiée à 15 réseaux partenaires : on s'identifie avec le ChargeMap Pass (14,90 euros) pour accéder à leurs bornes et effectuer ses recharges qui sont ensuite facturées mensuellement.https://chargemap.com
LA SANTÉ D'ABORD PRÉVENIR C'EST GUÉRIR
L'application Bear permet de faire interagir des contenus  textes et images  sur un support print. Forte de cette technologie de réalité augmentée, la jeune pousse fondée par Guillaume Pineau-Valencienne et Pierre Addoum, en 2014, s'est lancée dans la lutte contre le jeu compulsif. Le PMU est le premier utilisateur du programme pour sensibiliser les parieurs. Il suffit de scanner un simple flyer sur le sujet pour que l'utilisateur puisse avoir des réponses à ses questions de façon ludique.www.bear2b.com
BON DOS
La lombalgie est la première cause d'invalidité avant 45 ans et plus de 80 % des Français seront atteints de mal de dos au moins une fois dans leur vie. Antoine Noël et Damien Bratic, deux anciens de Centrale Lille, ont développé Atlas, un exosquelette destiné à soulager les lombalgies chroniques. Sous forme de ceinture, il décompresse la colonne vertébrale et allège le poids qui s'applique sur les lombaires. Plus de 30 patients du centre hospitalier universitaire de Lille ont déjà pu tester les effets d'Atlas. Le produit devrait être commercialisé en mars 2018.www.japet.eu
Le smartphone rangé dans la poche du pantalon peut être un danger pour la fertilité masculine. Duoo hopeful a imaginé des boxers filtrant les ondes afin de sauver ce que l'homme a de plus précieux. Antoine Serouille, Romain Robert, tous deux diplômés de l'Edhec, et Yohann Barthélémy, graphiste, développent depuis 2016 ces caleçons tricotés à partir de SilverShell, un tissu anti-ondes et antibactérien utilisé à l'avant du sous-vêtement pour offrir une protection localisée.www.duoohopeful.com
SOMMEIL DE PLOMB
Des problèmes pour s'endormir, des réveils nocturnes trop fréquents ou bien des difficultés à émerger le matin ? Coline Juin, diplômée de Centrale Paris, tente de résoudre les insomnies avec Moona, un dispositif thermorégulant composé d'une fine membrane à glisser sous la taie d'oreiller, reliée à un boîtier gérant un circuit fermé d'eau. La membrane change de température selon les périodes de sommeil : un oreiller plus frais pour mieux s'endormir ou se rendormir après un réveil nocturne, et un oreiller plus chaud pour se réveiller en douceur.en.getmoona.com
Difficile de se concentrer en open space. Pierre Guiu et Éric Benhaim, ingénieurs en acoustique, fondateurs de Orosound, ont développé, en 2015, des écouteurs qui permettent de s'isoler de tout bruit et de personnaliser son espace sonore pour retrouver concentration et bien-être au bureau. L'utilisateur peut, au choix, couper tous les sons ou décider de n'entendre qu'une seule personne.www.orosound.com
SPORTS À LA CARTE
Bernard Meunier a lancé l'application Check My Sport en 2017. Véritable réseau social des sportifs, elle propose 240 activités à pratiquer dans plusieurs villes de France avec d'autres coéquipiers. Danse, body fitness ou encore glisse sont autant de disciplines proposées. On peut également choisir de créer son propre entraînement, en publiant une annonce. Enfin, salles de sport et professeurs particuliers sont géolocalisables en ligne et peuvent se réserver pour une seule séance, libre à l'utilisateur de changer d'activité s'il le souhaite.www.checkmysport.fr
DONNÉES EN OR AIR DATA
Safety Line, fondé en 2010 par un ancien pilote, Pierre Jouniaux, a développé des logiciels pour optimiser les vols. A partir des données numériques contenues dans la boîte noire des avions, la start-up offre des solutions permettant aux compagnies d'ajuster leurs opérations pour plus de sécurité et d'économies de carburant. Les données, une fois analysées et recoupées avec la météo, sont transmises à l'équipage. Safety Line a déjà convaincu 40 clients dans le monde.www.safety-line.fr
THE FINANCIALIST
Depuis la crise financière de 2008, l'évaluation du profil de risque des clients est désormais obligatoire dans de nombreux pays. Neuroprofiler est un jeu de finance comportementale développé, en 2016, par Tiphaine Saltini et Julien Revelle. Il permet aux conseillers financiers de bien évaluer le profil d'investisseur de leurs clients conformément aux nouvelles exigences européennes. Neuroprofiler a déjà séduit les plus grands établissements bancaires.www.neuroprofiler.com
TOUT EN UN
OneCub, fondé par Olivier Dion en 2011, a développé un outil permettant aux utilisateurs d'exploiter leurs données sur n'importe quel service en ligne. Que ce soit la boîte mail, l'historique Internet ou un projet de voyage, l'internaute peut accéder à tout cela en un seul clic sur Onecub. La technologie respecte l'application du Règlement général sur la protection des données (RGPD). Onecub a été choisie par Facebook pour faire partie du « Start-up Garage », son programme d'accélération lancé à la Station F.www.onecub.com
DEVANCER LE JUGE
Depuis le début de l'année 2017, les décisions rendues par les juridictions judiciaires sont mises à la disposition du public à titre gratuit. Louis Larrêt- Chahine, jeune avocat et cofondateur de Prédictice, a saisi cette occasion pour développer un logiciel de justice prédictive. Ses algorithmes s'appuient sur des millions de décisions afin d'anticiper les chances de succès ou d'échec d'un contentieux. Il va même jusqu'à conseiller les meilleurs arguments à utiliser et prédit le montant des indemnités que le client peut espérer toucher. Les cours d'appel de Rennes et de Douai, ainsi que le barreau de Lille, expérimentent l'outil depuis le mois d'avril.www.predictice.com
CYBER-ANGE GARDIEN
Alors que le hacking de grande ampleur est devenu un risque récurrent pour les grands groupes comme pour les petits entrepreneurs, CybelAngel lutte, depuis 2013, contre le vol de données et protège les entreprises des possibles fuites. La technologie, développée par les frères Erwan et Stevan Keraudy, l'un financier, l'autre centralien, associés à Mathieu Finiasz, normalien, collecte 1 milliard de documents sensibles par jour en accès libre sur le Web. CybelAngel localise les informations dès qu'elles deviennent accessibles en ligne et alerte ses clients avant qu'une exploitation malveillante ne puisse en être faite.www.cybelangel.com
BOUCLIER DIGITAL
Il y a des robots qui vous veulent du bien et il y a les autres, les « bad bots ». Ils aspirent illégalement le contenu des sites Internet et hackent des bases de données pour les utiliser à des fins commerciales. DataDome, fondée, en 2016, par Benjamin Fabre et Fabien Grenier, détecte ces «bad bots» et les bloque avant qu'ils n'accèdent au site de ses clients. La start-up déploie en fait des dômes digitaux au-dessus des sites d'éditeurs de contenu pour les protéger. Son service est proposé sur abonnement.www.datadome.co
Stop au parapluie qui laisse une flaque d'eau à l'entrée. Antoine Gros et Aurélien Rinaldi, diplômés de la London School of Economics, ont fait l'expérience des pluies londoniennes pendant suffisamment longtemps pour élaborer, en 2015, une housse capable de sécher le parapluie une fois celuici rangé dans son étui. La housse comprend trois couches : la première en microfibre pour l'absorption, la seconde plus opaque pour bloquer l'eau et la dernière, composée de polyester hydrophobe, pour éviter la propagation de l'humidité.www.beau-nuage.fr
LOIN DES YEUX, PRÈS DU COEUR
Jean Grégoire, ingénieur en robotique, s'était installé aux Etats-Unis pour ses études, loin de sa dulcinée. Il a imaginé un moyen pour communiquer avec elle. C'est ainsi qu'est né Lovebox : un petit boîtier en bois comprenant un coeur qui se met à tourner, pour prévenir le destinataire qu'un message lui a été adressé. Il suffit de soulever la partie supérieure pour que s'affichent les mots doux envoyés depuis un smartphone. Bonus, la boîte est fabriquée en hêtre du Jura, à Saint-Amour !www.lovebox.love
BONNES HABITUDES
Un smartphone plutôt qu'un portemonnaie rempli de petites pièces. Fondé par Rodolphe Bloch-Lainé, spécialiste du e-commerce, en 2014, Les habitués permet d'avoir son propre compte chez ses petits commerçants favoris, chaque achat étant directement débité. Pour pouvoir utiliser l'application, le commerçant doit payer mensuellement entre 29 et 79 euros. Des cadeaux ou des avantages sont proposés au client à mesure que le montant augmente sur son compte.www.leshabitues.fr
RÉVEILLEZ-VOUS !
La somnolence au volant est l'une des principales causes d'accidents de la route. Toucango, inventé, en 2014, par Stéphane Arnoud, PDG de Innov+, surveille le visage du conducteur. Grâce à sa caméra, le boîtier déclenche une alarme sonore et visuelle dès qu'il décèle des signes de fatigue ou un manque de concentration. Il intègre aussi un service de cartographie qui évalue les zones à risque du trajet. Déjà adopté par les flottes d'entreprise, il sera bientôt disponible pour les particuliers.www.toucango.com
SOS MOTO
Liberty Rider émet un signal d'alerte en cas d'accident du motard. Si l'utilisateur n'est pas en mesure d'arrêter l'alerte, il est immédiatement géolocalisé afin de prévenir en temps réel les secours et de leur indiquer précisément le lieu de l'accident. Fondée en 2016 par Emmanuel Petit et Julien Le, deux diplômés de l'IFAG Toulouse, et disponible gratuitement, l'application compte déjà 50 000 utilisateurs.www.liberty-rider.com
YOU'RE IN GOOD NEIGHBORHOOD
Pour aider les particuliers à trouver l'adresse idéale de leur futur bien, en fonction de leurs besoins, la start-up Kinaxia, inventée par Edouard Le Goff, a développé CityScan. Le site propose 70 indicateurs pratique, telle que l'accessibilité, l'éducation, les commodités, les niveaux de nuisances ou encore les risques de catastrophe naturelle. Un avis et une note sur 100 sont ensuite attribués à chaque adresse. Le service est disponible sur smartphone.www.cityscan.fr
VÉLO PERSO À DISPO
Lancée symboliquement le 5 juin 2016, lors de la fête du vélo, BeBike, développé par Jérôme Gainche, ancien commercial devenu loueur de vélos en Bretagne pendant deux ans, propose aux propriétaires de vélo de louer leur petite reine à ceux qui cherchent une bicyclette. BeBike dispose d'un système de géolocalisation permettant de trouver les vélos disponibles autour de soi et de faire la mise en relation avec leurs propriétaires.www.so-bebike.com
À TABLE ! L'ASSISTANT CUISINE
Pour ceux qui ont en assez de manger des pâtes chaque soir, Frigo Magic offre la solution : il suffit d'indiquer les produits disponibles dans sa cuisine et l'application propose instantanément une recette. Christophe Boisselier, restaurateur, s'est associé avec Sébastien Burel, en 2015, pour concevoir des centaines de recettes originales. L'utilisateur peut adapter les plats selon son régime alimentaire : sans gluten, sans lactose, végétarien, végétalien.www.frigomagic.com
IN VINO VERITAS
Alexandre Theriot et Cédric Morelle, deux professionnels du e-commerce, ont lancé, en 2015, Wineadvisor. A partir d'une simple photo de l'éti- quette de la bouteille, l'application donne accès à toutes les informations clés relatives au nectar (cépage, année, site de production, prix, etc.). Elle offre aussi la possibilité de donner son avis sur le produit. Wineadvisor se veut un véritable réseau social du vin, où les utilisateurs peuvent partager leurs goûts avec l'ensemble de la communauté.www.wineadvisor.com
Willy Wonka peut être jaloux. Thibaut Saras, Edouard Bonissol et Olivier Meunier, trois anciens de Skema, ont imaginé une chocolaterie moderne, capable de créer des petits chocolats à partir d'une imprimante 3D. Le client peut ainsi choisir le design (et se laisser aller à des formes surprenantes) mais aussi la garniture et la taille du produit. Cerise sur le chocolat, il est bio et provient du commerce équitable.www.les3dandies.com
SERRE FAMILIALE
Mickaël Gandecki, Johan Nazaraly, deux ingénieurs de l'Ensea et Matthieu Urban, diplômé de l'Iseg, ont développé, en 2015, une serre connectée, destinée à produire fruits, légumes et poissons. Le modèle de 22 mètres carrés permet de récolter entre 300 et 400 kilos de végétaux et 30 à 40 kilos de poissons par an, grâce à la permaculture et à l'aquaponie. De quoi nourrir quatre personnes. Une application permet de gérer les aérations ou de régler la température. La version classique est vendue près de 8 000 euros.www.myfood.eu
PAIN PAS PERDU
Franck Wallet veut lutter contre le pain perdu avec ses « recettes évadées ». En fin de journée, les boulangeries et les grandes surfaces sont obligées de jeter le pain invendu. L'ancien ingénieur en système urbain leur propose de recycler les stocks de croûtons. Une machine, le « Crumbler », est louée au commerçant qui peut réduire le pain rassis en miettes et l'utiliser ensuite comme farine. Un panel de recettes de cookies, muffins, terrines, quiches, est fourni avec la machine.pro.recettesevadees.fr
Foodvisor analyse le contenu de votre assiette et en tire les informations nutritionnelles utiles. A partir d'une photo, l'application reconnaît les aliments, estime leur quantité et donne leurs apports nutritionnels (calories, protéines, glucides etc). Lancée, en 2017, par Charles Boes et Yann Giret, Foodvisor propose aussi un outil pour suivre son poids et retrouver la ligne.www.foodvisor.io
À LA MODE TIRÉ À QUATRE ÉPINGLES
En 2014, Guillaume Vandevoorde fonde My Tailor is Free. Le concept est simple : grâce à 200 points de mensu- rations captés dans une cabine 3D spécialement équipée, costume, chemise ou manteau sont élaborés surmesure et personnalisés selon les souhaits du client (poches, boutons, etc.), avec un large choix de tissus et l'aide d'un styliste professionnel. En quatre semaines, la commande est prête. La start-up s'est déployée via deux showrooms : à Aix-en-Provence et Marseille.www.mytailorisfree.fr
FASHION VICTIM
Qui n'a jamais arraché les pages d'un magazine pour se souvenir d'un « must have » ? Grâce à Selectionnist, un flash suffit pour garder en mémoire électronique les produits mode, beauté, déco, culture ou enfants repérés dans les magazines et pour pouvoir les acheter ensuite. Un chatbot permet aussi un accompagnement personnalisé. L'application lancée, en 2014, par Tatiana Jama et Lara Rouyres a déjà séduit 300 000 utilisateurs.www.selectionnist.com
CHASSEUR DE TENDANCE
Tony Pinville et Charles Ollion, deux scientifiques, ont créé Heuritech en 2013. Grâce aux algorithmes et à l'intelligence artificielle, tissus, couleurs ou encore motifs sont analysés dans des millions d'images de mode et beauté, postées sur Instagram ou dans des articles en ligne. Ils permettent aux distributeurs de détecter ce qui fera le buzz prochainement, de booster le contenu des catalogues proposés aux clients et même de faire des comparaisons avec la concurrence.www2.heuritech.com
Se protéger de la pollution avec élégance : voilà l'idée de Caroline Van Renterghem quand elle a fondé Wair, en 2014. En 2017, la start-up a lancé un foulard ergonomique, écologique et esthétique qui permet de filtrer 99 % des gaz polluants mais aussi les pollens et les bactéries présentes dans l'air. L'application Supairman permet d'être informé sur le taux de pollution et d'être alerté lorsqu'il est préférable de porter son foulard sur le nez.www.wair.fr
BEAUTÉ EN CAPSULES
Fruit de cinq années de recherches, Figure est une « machine à cosmétiques » qui permet de créer ses propres crèmes et sérums chez soi, en fonction des besoins en temps réel de sa peau. Morgan Acas et Thomas Dauxerre ont imaginé, en 2015, cet appareil connecté design qui mixe base de soin et actifs afin de produire chaque jour une dose de crème personnalisée. La machine fonctionne via une application (prochainement aussi disponible sur Android) qui analyse les données personnelles actualisées (taux de pollution, température, etc.) et propose une dose aux ingrédients adaptés. Une fois la capsule achetée, il suffit de l'insérer dans la machine et le tour est joué !www.romy-paris.com
LA BELLE HEURE
Fondée en 2014 dans le Jura par Clément Meynier, petit-fils d'ébéniste, et Mélanie Stein, la société Koppo fabrique des montres de luxe en bois aux décors de marqueterie originaux et sophistiqués. De A à Z, toutes les pièces sont minutieusement créées et assemblées à la main : le cadran, le bracelet avec un cuir noble et le mouvement, de fabrication suisse.www.koppo.co
POUR LE PLAISIR SOUVENIRS, SOUVENIRS
Avec leurs triporteurs électriques et écologiques aux couleurs gaies, Geoffrey Costilhes, Kevin Colinet, Thomas Legendre et Gregory Sequeira, quatre passionnés de voyages, ont eu la bonne idée en 2015 : personnaliser les photos souvenirs des touristes (déjà prises ou à capturer sur le moment) puis les imprimer afin de les transformer en carte postale avec petit message. Tout cela sur place, en moins de cinq minutes. Postmii assure l'affranchissement et l'envoi le jour même.www.postmii.com
DANS MA BIBLIOTHÈQUE...
Alexandre Bruneau, ancien de Dauphine, a lancé, en 2014, un site qui sélectionne les meilleurs ouvrages et en propose des résumés clairs et didactiques à lire sur ordinateur, smartphone, tablette ou liseuse en moins de trente minutes. Certains sont également disponibles en version audio. Couvrant des thématiques business, innovation, entreprenariat, management, leadership, développement personnel, productivité, performance et actualité, le service est proposé sur abonnement.www.koober.com
REMONTER LE TEMPS
Adrien Sadaka et Basile Segalen proposent un voyage dans le temps : lancé en 2016, Timescope fournit des bornes avec jumelles ajustables à tous qui permettent grâce à la réalité virtuelle et aux archives de plonger à l'intérieur de l'histoire d'un lieu. Il ne reste plus qu'à choisir, sur l'écran tactile multilingue, la période dans laquelle on veut s'immerger, façon 3D et à 360 degrés. Deux bornes sont déjà installées à Paris, près de la place de la Bastille et de l'Hôtel de ville, deux autres au Havre.www.timescope.co
Jean-Rémi Kouchakji et Bertrand Sylvestre-Boncheval, deux anciens de HEC, ont créé Payintech, en 2013. Petit bracelet coloré, connecté, sécurisé, il permet de régler ses achats dans les secteurs du tourisme et des loisirs (festivals, stations de montagne, hôtellerie de plein air, etc.) de manière simple. Le consommateur doit simplement le charger en argent avant utilisation. Grâce aux données recueillies, les professionnels peuvent aussi garantir un meilleur service.www.payintech.com
DIX MINUTES SOUS LA MER
Rendre la plongée plus facile ? Tel est le but de Yann Ricordeau avec MiniDive : une minibouteille portable, légère, rechargeable en mer à l'aide, entre autres, d'une pompe à main ou d'un minicompresseur. Avec une autonomie d'exploration de cinq à dix minutes, elle est parfaite pour les petites expéditions, les opérations d'entretien d'un bateau de plaisancier ou les sauveteurs en mer. Le produit est commercialisé depuis cette année.www.minidive.com/fr
IL ÉTAIT UNE FOIS...
Histoires de pirates ou de Noël : voilà le choix qu'ont les chérubins dans leur petite boîte. Fondée, en 2013, par Maëlle Chassard, Igor Krinbarg, Éric Le Bot et Thomas Krinbarg, la start-up a développé une fabrique à histoires pour les enfants à partir de trois ans. Ce sont 48 aventures disponibles et plusieurs histoires à créer soi-même en ajoutant un héros, un lieu, un personnage et un objet. Davantage d'histoires sont accessibles dans la Luniithèque, une bibliothèque digitale sous forme d'application (payante) disponible pour PC ou Mac.www.lunii.fr
ENSEMBLE C'EST TOUT HUMEUR DU JOUR
Le bonheur des employés au travail, tout un programme... Lancée en 2015 par Christophe Bergeon, Zest a mis au point l'application ZestMeUp, qui évalue l'humeur des salariés quotidiennement, de manière anonyme si désiré. Pour cela, l'entreprise souscrit à une offre mensuelle ou annuelle en fonction du nombre d'utilisateurs prévus. Des fonctionnalités permettent notamment de suivre la « santé » des collaborateurs et la vie de l'entreprise en proposant des sondages réguliers, des feedbacks mais aussi du coaching entre collègues. Enfin, un système d'alerte permet de prévenir les risques de burn out.www.zestmeup.com/fr
FAITES-MOI SIGNE
Avec Ava, Thibault Duchemin donne la possibilité aux personnes sourdes et malentendantes de suivre toutes les conversations du début à la fin. Via cette application, elles invitent leurs interlocuteurs à participer à une discussion. Un microphone placé dans leur smartphone leur permet de recevoir sous forme de message écrit tout ce que chacun dit. Le service est gratuit jusqu'à cinq heures par mois et pratique pour les rapides conversations en face-à-face. Il est payant sur abonnement pour les plus bavards.www.ava.me
Être hospitalisé est rarement un moment de chaleur humaine. Pour y remédier, Julien Artu et Laurence Mégard ont créé My Hospi Friends, en 2014, le premier réseau social pour les patients. Il permet d'échanger sur ses passions, de tisser des liens d'amitié et de rompre l'isolement. L'utilisateur se crée une page personnelle avec ses centres d'intérêt, des évènements, des photos etc., le tout avec un niveau de confidentialité ajustable. Par ailleurs, l'espace Hospi Connect permet de regrouper tous les services hospitaliers en un seul support numérique.www.myhospifriends.com
Fondée en 2016 par Laurent HuetKabacinski, Citeamup propose des jeux d'aventure urbains pour entreprises, groupes d'amis (enterrements de vie de garçon ou de jeune fille), familles et collectivités dans une vingtaine de villes, en France. Jeux de piste, courses d'orientation, rallyes photo, énigmes à résoudre... On s'affronte à plusieurs. Accessible vingt-quatre heures sur vingt-quatre, sept jours sur sept, l'activité se choisit en ligne et donne droit à un livret détaillant le jeu et ses buts.www.citeamup.com
UNE COUR POUR TOUS
Caroline Carrière a créé, en 2015, Ma Share Ecole afin de connecter les familles d'une même école entre elles. De la maternelle jusqu'à la sixième, une application sécurisée et gratuite permet aux parents de partager entre eux leurs questions et besoins du quotidien (trajets, gardes, etc.), ainsi que la vie de tous les jours à l'école. Mieux : on les aide même dans l'organisation des repas de la semaine ou encore des vacances.www.mashareecole.com
DESSINER, JOUER OU LIRE À DISTANCE
Quel parent n'aimerait pas être auprès de son enfant pour lui lire l'histoire du soir, même lorsqu'il part en voyage d'affaires à 1 000 kilomètres de son domicile ? Etienne Desbrières, ancien animateur Bafa, a créé Edukily, en septembre 2016. Simplifiant les relations entre adultes et enfants quand ils sont séparés (expatriés, grands-parents éloignés), l'application permet de jouer à distance avec ses bambins et de leur lire des histoires grâce à l'appel vidéo ou au chat entre tablettes. Un système de tableau permet également de partager des dessins en simultané.www.edukily.com
DATE-CHARGEMENT: 7 Septembre 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Expansion L'Express
Tous droits réservés
407 of 500 DOCUMENTS
Les Echos Business
mercredi 30 août 2017
RGPD : le crucial volet informatique de la protection des données personnelles
AUTEUR: FLORIAN DEBES
RUBRIQUE: ARTICLE; Le RGDP coûte 20 à 50 millions d'euros aux grandes entreprises
LONGUEUR: 617 mots
ENCART: Moins d'un an avant l'entrée en vigueur de nouvelles règles européennes, les entreprises s'attaquent aux difficultés technologiques de la protection des informations personnelles. Les volets juridiques des plans de conformité étant souvent déjà terminés.
La mise en conformité des grandes entreprises avec le règlement européen sur la protection des données personnelles pose plus de difficultés que prévu. « Quand les équipes informatiques ont étudié les coûts, les budgets ont dû être révisés », constate Raphael Brun, consultant chez Wavestone et auteur d'une synthèse-bilan d'un an de travaux destinés à faire respecter le texte communautaire dans une vingtaine de grands groupes.
Abrégé en RGDP, ce règlement « général » doit entrer en vigueur en mai 2018. Pour protéger la vie privée des citoyens européens, il accroît la responsabilité des entreprises qui collectent, traitent et analysent des données associées à une personne. Alors que le sujet a d'abord été essentiellement perçu comme une problématique juridique, Wavestone estime que 40 % des efforts à mener sur ce front incombent aux équipes informatiques.
Le RGDP coûte 20 à 50 millions d'euros aux grandes entreprises
Pendant les premières semaines des plans de mise en conformité, fin 2016, les équipes juridiques ont interprété le texte et revu la rédaction de certains contrats. Des travaux qui sont souvent déjà terminés. Des opérationnels ont ensuite cartographié les process à risque. Et il revient maintenant aux informaticiens de déployer les préconisations de chacun sur les systèmes existants. « C'est le travail le plus lourd car ils doivent anticiper les effets de bord liés à l'anonymisation ou à l'effacement des données », pointe Raphael Brun. Dans certaines entreprises, supprimer un nom dans une base de données, à la demande d'un client, peut paralyser d'autres systèmes.
Pour une entreprise aux multiples activités et nombreuses filiales, Wavestone situe le coût des programmes de mises en conformité RGDP dans une fourchette de 20 à 50 millions d'euros. Sachant que ces programmes mobilisent « plusieurs dizaines d'équivalent temps plein ». Dans les budgets, les informaticiens se taillent la part du lion, notamment pour créer les logiciels susceptibles de permettre aux internautes européens d'exercer leurs nouveaux droits - par exemple, la portabilité des informations personnelles - et d'intégrer les nouvelles exigences de privacy by design dans les projets en cours. Des efforts sont également prévus en matière de sécurité informatique.
En mai 2018, les entreprises ne seront pas 100 % conformes au RGDP
Neuf mois avant la date d'entrée en application du texte européen, les entreprises voient déjà le printemps arriver à grand pas. D'après une étude menée par Varonis, un éditeur de logiciels de classification des données, 74 % de ses clients français expliquent qu'ils devront faire face à de sérieux défis pour être en conformité dans les temps. Wavestone est plus direct : « La grande majorité de nos clients ne seront pas prêts. Ils voient plutôt l'échéance de mai 2018 comme la fin d'une première étape, celle au cours de laquelle ils auront réalisé les travaux les plus importants et communiqué leur feuille de route aux régulateurs européens pour la suite », explique Raphael Brun.
Au vu des sommes nécessaires à une mise en conformité complète, les directions générales demandent souvent à leur directeur des systèmes d'information (DSI) de prioriser un volet du texte plutôt qu'un autre. Les entreprises sont aussi conscientes de souffrir d'un manque de compétences pour déployer certaines technologies, nouvelles pour elles, comme l'anonymisation. Les régulateurs - la CNIL en France - déclarent être conscients de la situation incofortable dans laquelle se trouvent les entreprises. Ils évalueront leur bonne volonté, mais s'ils jugent leurs efforts insuffisants, elles seront exposées à une amende égale à 4 % de leur chiffre d'affaires mondial.
Contributor:
DATE-CHARGEMENT: 31 août 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
408 of 500 DOCUMENTS
Economie Matin
27 août 2017 04:00 AM GMT
WannaCry et (Not)Petya : pourquoi faut-il repenser la sécurité informatique ?
LONGUEUR: 915 mots
Pour la deuxième fois en quelques semaines, de nombreuses entreprises ont constaté que leur infrastructure de sécurité n'était pas en mesure de faire face aux attaques modernes de type ransomware. WannaCry et (Not)Petya exploitent les failles des systèmes qui n'ont pas été mis à jour, révélant aux entreprises une vulnérabilité interne : les outils de protection existants ne sont efficaces que s'ils sont parfaitement à jour. En cas d'attaque, il est impératif de pouvoir analyser et gérer rapidement la situation. Alors que la seconde vague d'attaques reflue, les entreprises doivent examiner comment renforcer la protection de leur SI.
Avant tout, elles doivent se demander si une protection robuste de l'environnement du datacenter est encore adaptée. Les responsables de la sécurité doivent commencer par définir le périmètre de l'entreprise. Dans un monde centré sur le Cloud, dans lequel les employés sont de plus en plus mobiles et où l'Internet des Objets gagne du terrain, chaque appareil doit avoir son propre périmètre de sécurité lorsqu'il est connecté à Internet. L'infrastructure réseau traditionnelle est donc largement affaiblie. Aujourd'hui, chaque filiale et chaque employé, indépendamment de son lieu de travail à l'intérieur ou à l'extérieur de l'entreprise, doit s'assurer que les règles de sécurité les plus récentes sont appliquées uniformément et en temps réel lors de l'accès à des applications sur le réseau ou dans le Cloud. Pour moderniser leur infrastructure de sécurité, les entreprises doivent mettre en place une solution de sécurité en mesure de s'adapter à l'évolution rapide des menaces, car les vecteurs et le déroulement des attaques évoluent constamment. Même si une protection fiable à 100 % relève de l'impossible, les entreprises se doivent de mettre en place la solution de sécurité la plus performante possible. Dans cette optique, elles doivent s'appuyer sur des dispositifs automatiques pour affronter ces menaces. - Le personnel, les infrastructures et les données doivent être mieux protégés par des technologies de sécurité modernes pour réduire le nombre d'attaques réussies - Les attaques, et les infections qui en découlent, doivent être identifiées le plus rapidement possible par une analyse en temps réel - Leur propagation doit être empêchée tout aussi rapidement par l'application de règles en temps réel. Elever le niveau de protection et rétablir la capacité de réaction WannaCry et (Not)Petya montrent qu'il existe plusieurs approches pour renforcer la sécurité. Les entreprises savent que tous les systèmes, les serveurs, les navigateurs, les plugins de navigateur, les systèmes d'exploitation, etc. doivent être le plus à jour possible, mais que la gestion des correctifs reste à la traîne. Bien souvent, cette dernière sur de nombreux objets connectés n'est tout simplement pas possible. Une approche traditionnelle de la sécurité reposant sur des technologies avancées de différents fournisseurs est compliquée à gérer. Les serveurs proxy, les pare-feu, les sandbox, les antivirus, les systèmes de prévention des pertes de données et les systèmes SIEM des fournisseurs les plus divers doivent être tenus à jour pour protéger complètement et efficacement les systèmes et les utilisateurs, sur tous les sites. Les attaques de ces derniers mois ont exploité des failles qui ont démontré que l'infrastructure de sécurité n'était pas parfaitement à jour sur tous les sites. Pour détecter les attaques et les infections qu'elles propagent dans les plus brefs délais, il est judicieux de mettre en oeuvre une plate-forme de sécurité hautement intégrée. Ce type de plate-forme, qui englobe des modules pour la sécurité Web, un pare-feu de nouvelle génération, une sandbox et un système de prévention des pertes de données, entre autres, permet l'exploitation rapide et en direct des logs d'activité. La sandbox, en particulier, fournit des informations cruciales sur l'état de la sécurité par une analyse comportementale en temps réel. Si le trafic de données est analysé en direct, il est possible de bloquer le logiciel malveillant et d'empêcher le code de s'exécuter. Ainsi, les entreprises bénéficient d'un gain de temps non négligeable, car si les attaques ne peuvent pas être évitées, il est essentiel de les identifier rapidement afin d'empêcher leur propagation. Dès que les informations relatives à une attaque sont disponibles, il est possible de bloquer sa propagation. Les informations en temps réel permettent de réagir rapidement en cas d'infection par un logiciel malveillant. Bien préparé face aux ransomwares et pour le Règlement Général sur la Protection des Données (RGPD) Les fonctionnalités de reporting offertes par une plate-forme de sécurité dans le Cloud sont également essentielles pour les futurs changements juridiques qui découlent de ce règlement. En effet, pour pouvoir remplir leur obligation de signaler les violations de données dans un délai de 72 heures, les entreprises doivent mieux connaître leurs flux de données et disposer d'une vue d'ensemble des menaces actuelles. Agrave; cela s'ajoute la nécessité de plans d'urgence dans le cas d'une violation qui doit d'abord être déclarée. Les menaces sont en pleine évolution et les entreprises doivent adapter leur stratégie de sécurité pour opposer de nouvelles approches aux nouvelles formes d'attaque. Agrave; l'ère du Cloud, en particulier, les alertes et l'application de règles en temps réel sont vitales pour les entreprises.
DATE-CHARGEMENT: 30 août 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
409 of 500 DOCUMENTS
LExpress.fr
Vendredi 25 Août 2017
Teemo, la start-up qui traque 10 millions de Français en continu
AUTEUR: Perrine Signoret
RUBRIQUE: HIGH TECH
LONGUEUR: 653 mots
ENCART: L'entreprise, basée à Paris, a développé un logiciel intégré à une cinquantaine d'applications mobiles, dont celles du Figaro, de L'Equipe et de Closer.
Si vous êtes allé au restaurant hier soir, Teemo (anciennement Databerries) le sait probablement. La start-up parisienne ignore votre nom, peut savoir que deux jours plus tôt vous aviez préféré rester chez vous. Et que vous allez souvent chez un ami qui vit à Quimper. Comme le révèle une enquête de Numerama, Teemo récupère en fait la géolocalisation de dix millions de Français grâce à leurs smartphones. Elle l'actualise même toutes les trois minutes.
Le consentement flou des utilisateurs
Pour parvenir à ses fins, elle n'a eu qu'à développer un logiciel, lui-même intégré dans un logiciel publicitaire. Les deux ont ensuite été vendus à une cinquantaine d'applications célèbres, dont celles du Figaro, de L'Équipe, Météo France, Télé Loisirs ou Closer.
LIRE AUSSI >> L'irrésistible ascension de la géolocalisation
L'une des premières questions qui se pose, est celle du consentement des utilisateurs. Car comme Numerama l'explique, les applications demandent bien un accord pour recueillir vos données personnelles liées à votre localisation, mais ne semblent pas vous dire clairement qu'elles les revendent à un tiers. Le média prend l'exemple du Figaro, dont les conditions générales d'utilisation ne mentionnent effectivement pas cet élément. Contacté, le quotidien n'a pas donné suite à nos sollicitations. Teemo, de son côté, se défend en expliquant que les termes de l'accord doivent être définis par les applications "de manière directe." La start-up n'a pas, sur son site, de conditions générales d'utilisation (CGU) à proprement parler. On y trouve malgré tout quelques informations, comme le fait que les données sont conservées jusqu'à treize mois après la date de leur collecte, et anonymisées.
Cela n'en est pas moins problématique. Selon Numerama, Teemo se vanterait ainsi de pouvoir retrouver à qui appartiennent des données grâce, par exemple, à leur IDFA, c'est-à-dire une suite de numéros servant à l'identification publicitaires des iPhone. "Mieux encore: sans l'IDFA, et seulement avec l'adresse et le lieu de travail d'une personne, retrouver n'importe quel Français prendrait 5 secondes à une équipe de 20 personnes", est-il ajouté dans l'article.
Un contrôle de la CNIL, mais pas de sanction pour l'instant
Des contrôles semblent bien avoir été effectués par la Commission nationale de l'informatique et des libertés (CNIL). Ils n'ont pour l'instant pas eu de suites. Pourtant la CNIL, de même que le Conseil d'Etat, avait déjà condamné une entreprise pour des faits similaires. Il s'agissait de Pages Jaunes. La firme avait récupéré les données d'utilisateurs grâce à un partenariat avec les réseaux sociaux. Elle avait défendu son procédé en expliquant que les utilisateurs avaient bien donné leur accord aux réseaux sociaux pour partager certaines informations. Pas convaincant pour le Conseil d'Etat et la CNIL, qui avaient estimé qu'un consentement donné expressément à Pages Jaunes était nécessaire avant toute collecte d'informations personnelles.
LIRE AUSSI >> Au BHV, et ailleurs, mieux vaut éteindre son téléphone pour éviter d'être pisté
Teemo peut également craindre l'arrivée au printemps prochain du règlement européen sur la protection des données (RGPD). Il prévoit que les collectes d'informations personnelles devront être licites, loyales et transparentes. Ce qui implique notamment d'informer correctement l'utilisateur sur ce qu'il sera fait de sa vie privée et de réaliser une collecte qui ne soit pas excessive ou disproportionnée. Pas certain que le fait de traquer 10 millions de personnes toutes les trois minutes entre dans cette dernière catégorie.
Pour rappel, il est possible de désactiver sa géolocalisation dans les paramètres de votre smartphone. Si vous ne souhaitez pas être pisté en permanence, n'hésitez pas à le faire dès lors que ce service ne vous est pas nécessaire.
LIRE AUSSI >> Snapchat lance un service de géolocalisation: notre tuto pour le désactiver
DATE-CHARGEMENT: 25 Août 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Express - LExpress.fr
Tous droits réservés
410 of 500 DOCUMENTS
Les Echos
vendredi 4 août 2017
La cybersécurité est la clef de notre liberté numérique
AUTEUR: STANISLAS DE MAUPEOU
RUBRIQUE: IDEES; Pg. 7 N°. 22501
LONGUEUR: 661 mots
Le calendrier a parfois des hasards troublants. Un an avant l'entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, deux cyberattaques d'une ampleur inégalée sont venues souligner l'impérieuse nécessité de la sécurité des données numériques et des systèmes informatiques qui les hébergent.
En prenant en otage les données de centaines de milliers d'ordinateurs à travers le monde, WannaCry puis NotPetya ont brutalement rappelé aux Etats et aux entreprises européennes que la course n'est pas près de ralentir face aux cyberattaques. C'est pourquoi la protection des données, l'or noir du XXIe siècle, devient essentielle. Et le Règlement général sur la protection des données, qui impose à chaque entreprise présente sur le territoire européen de prendre les mesures techniques et organisationnelles appropriées pour prévenir toute fuite, est loin d'être uniquement une affaire de conformité juridique. Au-delà d'éviter une lourde amende, qui peut aller jusqu'à 4 % du chiffre d'affaires des entreprises incriminées, il s'agit d'un véritable projet d'entreprise. Sa mise en oeuvre exige une véritable gouvernance de la cybersécurité dont on doit reconnaître aujourd'hui la défaillance.
Plus qu'un ensemble de contraintes, les entreprises peuvent voir ce changement imposé comme un générateur de confiance, donc de croissance. De confiance tout d'abord. Protéger la confidentialité et la sécurité des données personnelles est un élément décisif de la relation client. A l'heure de l'interconnexion généralisée des systèmes informatiques, de l'ouverture des réseaux, du cloud, des objets connectés, qui oserait confier ses informations personnelles, bancaires, médicales, familiales, à un acteur dont la fiabilité numérique n'est pas garantie ? Sans cybersécurité, pas de confiance. Et sans confiance, impossible d'adopter de nouvelles technologies, de poursuivre la transformation numérique de nos sociétés et de bénéficier des opportunités qu'elle génère, notamment en matière de Big Data. La confiance reconnue conditionne la croissance générée par la révolution numérique.
La cybersécurité n'est pas une fin en soi : gardons plutôt à l'esprit qu'elle permet d'entreprendre ! Le RGPD n'est pas uniquement un compte à rebours d'un an, nécessitant la coopération de nombreuses entités au sein des organisations (services informatiques, juridiques, financiers) et le respect d'obligations nouvelles (par exemple, le recrutement d'un délégué à la protection des données). Si sa mise en oeuvre peut sembler un travail conséquent, il ne devrait être qu'un jalon d'une stratégie numérique devant intégrer pleinement la cybersécurité dès la conception des systèmes et tout au long de leur cycle de vie.
Est-il besoin de le dire à nouveau ? WannaCry, et plus encore NotPetya, ne sont que la chronique d'attaques annoncées... Les vulnérabilités, semblables dans les deux attaques, avaient été signalées et la simple application des correctifs appropriés, complétée par une saine gestion des droits, des services de veille, d'alerte ou de remédiation appropriés, permettait de s'en prémunir efficacement. Et il y a fort à parier que d'autres attaques tenteront à nouveau d'exploiter ces mêmes faiblesses. Il est paradoxal, voire quelque peu désespérant, de constater que, même après le premier coup de semonce WannaCry, certaines organisations n'ont pas - pour des raisons de volonté, d'organisation ou de compréhension des risques - pu appliquer le correctif de sécurité diffusé en mars... alors que ces mêmes organisations ont été capables de le faire, en situation de crise, en quelques heures. Cela ne sera pas toujours le cas. Alors tirons les leçons qui s'imposent et prenons tous, enfin, le réflexe cybersécurité, une condition du succès de notre économie numérique.
Voir aussi:
[28/06/2017] Wannacry, Petrwrap : pourquoi ça recommence
Voir aussi:
[12/01/2017] Cybersécurité : les inquiétantes perspectives de 2017
DATE-CHARGEMENT: 4 août 2017
LANGUE: FRENCH; FRANÇAIS
NOTES: Stanislas de Maupeou est vice-président stratégie et marketing, systèmes d'information critiques et cybersécurité de Thales.
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
411 of 500 DOCUMENTS
Le Figaro Online
jeudi 3 août 2017 06:39 PM GMT
Le BHV aspire les données de ses clients, mais il est loin d'être le seul
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 1073 mots
ORIGINE-DEPECHE: Paris
ENCART: La célèbre enseigne de l'Hôtel de Ville a mis en place un système pour tracer le parcours de ses clients dans son magasin. Des pratiques auxquelles se livrent la plupart des grandes chaînes.
DifficiIe de prêter attention aux discrètes affiches du rayon bricolage du BHV quand on peine à trouver les serrures. L'une d'entre elles devrait pourtant attirer l'attention de chaque propriétaire de smartphone. On y lit qu'«un système de géolocalisation a été mis en place au sein du magasin» et que les utilisateurs qui refuseraient ce pistage doivent désactiver le wifi de leurs appareils. Faute de voir ce panneau et de paramétrer son smartphone, chaque client consent tacitement à partager ses données de géolocalisation et son adresse MAC (un numéro unique rattaché à un appareil) au BHV et à son prestataire, la start-up Occi, tant qu'il reste dans l'espace du grand magasin. Ses déplacements au sein des rayons et le temps passé dans chacun d'entre eux peuvent ainsi être suivis automatiquement, à des fins statistiques.
Contactée par Le Figaro, l'enseigne du groupe Galeries Lafayette indique avoir mis en place le dispositif depuis peu «sous forme de test au sein du BHV Marais et de 3 magasins Galeries Lafayette en Province». Les données de géolocalisation sont anonymisées et collectées afin «d'optimiser l'expérience des clients au sein [des] magasins à travers une offre et des services adaptés à leurs besoins», selon une porte-parole.
Traquer pour survivre
Les acteurs de la grande distribution s'intéressent aux données des consommateurs depuis bien longtemps. Avant l'arrivée des smartphones, les comportements d'achat étaient par exemple analysés grâce aux caméras de sécurité, afin de repérer par exemple les rayons les plus fréquentés, les pics d'affluence et les jours de l'année où l'on achète le plus. Le smartphone est apparu comme un petit miracle pour le secteur de la grande distribution, puisque cet espion de poche permet d'obtenir beaucoup plus d'informations sur les consommateurs, en temps réel. Il promet aussi aux équipes marketing de pister les clients en magasins autant que sur Internet et donc, de rattraper leur retard face aux acteurs du e-commerce qui disposent d'une quantité immense de données.
Des centaines de boutiques, chaînes de restaurations, centres commerciaux en France ont souscrit à ce type d'offres dites de marketing mobile pour magasins. Unibail Rodamco, qui possède71 centres commerciauxen Europe dont plusieurs en région parisienne, affirme à Rue89 avoir «procédé à un test» au Quatre-Temps à la Défense au cours des derniers mois. Le Forum des Halles serait également concerné, selon les sources du Figaro. La start-up FidZup, spécialiste de ces dispositifs et prestataire du géant des centres commerciaux, revendique parmi ses clients des constructeurs automobiles (Renault, Mercedes-Benz, Nissan, Opel), des enseignes de vêtements (Gémo, Timberland, Etam), une chaîne de restauration (Buffalo Grill). Sur le même marché opère la start-up fondée par des anciens de Google et Criteo, Teemo, qui affirme «avoir signé 100 clients prestigieux tels que Leclerc, Intersport, Casino, Leroy Merlin, Carrefour ou Volkswagen». Retency enfin, où l'ancienne PDG de Yahoo France Isabelle Bordry officie depuis 2014, compte des clientscomme Orange, C&A, Marionnaud ou Jardiland et recueille également des données d'audience sur la voie publique.
Consentement tacite
Pour recueillir des informations sur les flux de déplacement, la simple activation du wifi ou du bluetooth d'un smartphone suffit. Le propriétaire du smartphone n'a pas forcémentbesoin de consentir à l'exploitation de ses données et n'est parfois même pas au courant que sa visite dans un centre commercial lui vaut d'être pisté. Comme l'expliquait Rue89, «quand le wifi est activé sur un smartphone, il envoie des signaux radio qui, s'ils sont interceptés par des capteurs, permettent de calculer les trajets de son propriétaire et de déduire son temps de stationnement (dans un magasin, par exemple).» Il suffit aussi parfois d'avoir accepté de partager ses données de géolocalisation avec une application mobile qui les revend à des partenaires commerciaux. C'est d'ailleurs grâce à cela qu'une entreprise comme Teemo affirme pouvoir géolocaliser 10 millions de smartphones en continu.
Théoriquement, ces acteurs ont parfaitement le droit de recueillir toutes ces données, mais la Commission Nationale pour l'Informatique et les Libertés (Cnil) leur impose des conditions. Les données doivent ainsi être anonymisées afin de garantir le respect de la vie privée des consommateurs. Ces derniers doivent également être informés du dispositif par un affichage clair (la fameuse affichette du BHV), et doivent pouvoir se soustraire à l'exploitation de leurs données s'ils le souhaitent. Les entreprises sont obligées de faire une déclaration, voire de demander une autorisation dans certains cas spécifiques, auprès de la Cnil. Les entreprises qui souhaitent ainsi conserver les données plus de 6 mois doivent ainsi justifier leur demande auprès du régulateur.
Régulations à venir
Dans les faits, l'anonymisation des données n'est ni une certitude, ni une garantie du respect de la vie privée. «Il est difficile d'affirmer que la donnée recueillie par traçage Wifi est réellement protégée. Les entreprises ont tendance à rester discrètes à ce sujet, mais des normes communes ainsi que des études d'impact sur la vie privée rendues publiques seraient la moindre des choses pour s'assurer du respect de la vie privée», explique au Figaro Lukasz Olejnik, consultant en cybersécurité et vie privée et par ailleurs chercheur affilié au Center for Information Technology Policy de Princeton.
Le règlement ePrivacy, en ce moment débattu à Bruxelles, doit selon lui fixer de nouveaux remparts à l'exploitation frénétique des données des citoyens. «Imaginez la vie dans une ville intelligente où le traçage des individus est permis partout, sans aucune possibilité de s'y soustraire... Le règlement ePrivacy doit poser les conditions du consentement des utilisateurs et notamment quant à l'utilisation de leurs données via le wifi ou Bluetooth, qui sont des technologies très sensibles et difficiles à contrôler.»
La dernière version du règlement, présentée en janvier à la Commission européenne, se montre plutôt sévère à l'égard de l'exploitation de ces données. Elle pourrait cependant être assouplie sous l'influence de divers lobbiesdont elle menace directement les activités. Faute de texte de loi, les citoyens européens qui ne voudraient pas partager leurs données seraient alors priés d'éteindre leurs smartphones durant leur shopping.
DATE-CHARGEMENT: 3 août 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
412 of 500 DOCUMENTS
Le Figaro Online
mercredi 26 juillet 2017 07:07 PM GMT
La Cnil épingle OuiCar pour violation des données personnelles de ses utilisateurs
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 653 mots
ENCART: Le régulateur a prononcé un avertissement public à l'encontre de l'entreprise de location de voitures. Les données personnelles de ses utilisateurs n'étaient pas protégées pendant trois ans.
Dans le monde du numérique français, cela revient à une lettre écarlate. La Commission nationale de l'informatique et des libertés (CNIL) a publié ce 26 juillet un communiquépour expliquer l'avertissement qu'elle a prononcé à l'encontre de OuiCar. Ce site de location de voitures entre particuliers a la SNCF pour actionnaire majoritaire. Le régulateur des données personnelles reproche à l'entreprise d'avoir négligé la protection de la vie privée de plusieurs centaines de milliers d'utilisateurs à cause d'un «défaut élémentaire de sécurité». Il suffisait, selon l'institution, de modifier une adresse URL pour accéder librement à certaines données sensibles.
«La CNIL a constaté qu'il était possible d'accéder aux données de l'ensemble des utilisateurs du site, c'est-à-dire à leurs nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location», explique l'institution sur son site. Exploitable durant une durée estimée à trois ans, la faille de sécurité a entre-temps été réparée du côté de OuiCar. «Dès que nos développeurs ont appris l'existence de la faille, fin juillet 2016, ils ont travaillé tout le week-end pour réparer notre erreur», assure Marion Carrette, fondatrice de OuiCar, au Figaro. «C'est un bon avertissement pour nous. À ma connaissance, il n'y a eu aucun préjudice pour les utilisateurs».
Une mise en garde générale de la Cnil
La Cnil a déjà eu recours à ce type d'avertissements par le passé, notamment pour le site d'e-commerce C-Discount ou encorele site du Parti Socialiste qui avaient tous deux été épinglés pour une violation des données personnelles de leurs utilisateurs. En rendant public l'avertissement de OuiCar, la Cnil en profite aussi pour rappeler qu'elle dispose de nouveaux pouvoirs de sanctions financières. Depuis l'entrée en vigueur de la loi pour une République numérique, elle peut condamner à des amendes allant jusqu'à 3 millions d'euros. Elle ne disposait jusqu'alors que d'une possibilité d'amende plafonnée à 150.000 euros maximum. OuiCar y échappe car les manquements constatés étaient antérieurs à la date d'application de la loi. La Cnil déclare toutefois que «désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire».
En mai dernier, la Cnil a appliqué la peine maximale à Facebook, en raison de «nombreux manquements à la Loi informatique et libertés». Le régulateur avait notamment constaté que le réseau social «procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. (...) Il traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie», expliquait la Cnil dans un communiqué. Deux jours plus tard, la Commission européenne avait annoncé qu'elle sanctionnait à son tour Facebook d'une amende de 110 millions d'euros pour avoir fourni des informations inexactes lors du rachat de Whatsapp en 2014, où elle assurait qu'elle ne recouperait pas les informations à des fins publicitaires.
La protection des données personnelles est devenue un sujet fort pour l'Europe. L'Union européenne a adopté l'an passé un nouveau texte de loipour encadrer beaucoup plus fermement les pratiques des entreprises dont les activités se fondent sur la donnée. À partir du 25 mai 2018, celles qui ne respectent pas les règles de ce règlement général pour la protection des données (RGPD) risqueront des sanctions financières allant jusqu'à 4% de leur chiffre d'affaires mondial. Chaque entreprise traitant les données personnelles d'un citoyen européen - comme son nom ou son adresse mail- sera également tenue de notifier la Cnil à la moindre violation de données personnelles. Le régulateur des données personnelles français n'a d'ailleurs pas manqué d'y faire allusion, en renvoyant dès la fin de son communiqué à un nouvel article sur les obligations futures des entreprises.
DATE-CHARGEMENT: 26 juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
413 of 500 DOCUMENTS
Challenges.fr
dimanche 23 juillet 2017 11:24 AM GMT
Cyberattaques: pourquoi s'assurer n'est pas la meilleure solution
AUTEUR: Astrid Landon
RUBRIQUE: ARTICLE_NEWS
LONGUEUR: 1127 mots
ENCART: Les risques de cybercriminalité sont lune des bêtes noires des entreprises. Les cyberattaques deviennent de plus en plus nombreuses et coûteuses. Face à cette situation, sassurer nest pas forcément la meilleure solution.
Les cyberattaques seront de plus en plus coûteuses et de plus en plus nombreuses à lavenir. Au cours des dernières années, les offres dassurances anti-cyberattaques, les cyberassurances, ont fleuri dans le monde. Le problème, cest que les risques de cyberattaques sont pour la plupart difficilement chiffrables car ils peuvent avoir un impact sur de nombreux aspects de la vie dune entreprise, comme sa réputation ou son image. Dès lors, la problématique assurantielle devient un véritable casse-tête. Car plus le risque est important et plus la police dassurance sera chère. Va-t-on se diriger vers des assurances qui ne couvriraient que la moitié du risque ? Les risques devenant plus coûteux, cela entraînera-t-il une hausse des prix telle que les entreprises ne pourront plus sassurer contre les cyberattaques ? Lassurance est-elle vraiment nécessaire lorsquune cyberprotection solide est installée en amont ? Plus simplement, la cyberassurance est-elle la meilleure solution à la cyberattaque ?
Un retard à combler par rapport aux Etats-Unis
"Au sein de notre groupe international, le premier produit de cyber-assurance a vu le jour dès 1998 aux Etats-Unis. Il faut cependant attendre septembre 2012 pour que son équivalent naisse en France", rappelle Sophie Parisot, product leader cyber dAIG en France. En cause, le manque dattaques en France par rapport au voisin américain. "Les objets connectés qui intéressent les cybercriminels sont arrivés tard en Europe", explique Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte. Le risque étant moins présent sur le vieux continent, les polices dassurance avaient moins de raisons de se développer.
Et puis, il y a aussi les réglementations européennes. Aux Etats-Unis, le cadre juridique est plus adapté quen Europe en ce qui concerne le marché des cyberassurances. La donne est cependant en train de changer. Le 25 mai 2018 entrera en vigueur le règlement européen sur la protection des données (RGPD) qui obligera les professionnels à augmenter leur niveau de cybersécurité.
"En France, la cyberdélinquance est de plus en plus présente. Les technologies dattaques sont disponibles en ligne ou sur le dark web. Larticle 32 du RGPD oblige à mettre en place des systèmes de sécurité pour protéger les données personnelles. Quant à larticle 33, il contraint dorénavant à notifier à la CNIL les failles de sécurité", précise Alain Bensoussan, avocat à la Cour dappel de Paris spécialisé en droit de linformatique et des technologies avancées. Sils ne suivent pas les nouvelles directives, les grands groupes pourront être condamnés à une amende représentant jusquà 4% de leur chiffre daffaires ou 20 millions deuros.
"La discrétion, un élément de défense"
La plupart des entreprises touchées par des cyberattaques ne communiquent pas sur le sujet. Elles craignent la double peine, avec le coût quune telle information pourrait avoir sur leur image et leur réputation. Joint par Challenges, le groupe Auchan, cible récemment dune cyberattaque contre ses hypermarchés en Ukraine, refuse de sexprimer et affirme que "la discrétion est aussi un élément de défense".
Aujourdhui, les assurances proposent pour la plupart un volet de prestations qui accompagnent la compensation financière. "Cest là quest désormais la valeur ajoutée comme en témoigne notre approche chez AIG. Le conseil dans la prévention en amont et laccompagnement réactif en cas de crise sont aussi importants aujourdhui que les indemnités", explique Christophe Zaniewski, directeur général dAIG en France. DSI de Saretec et porteur du sujet cyber, Alain Guède précise que son groupe se focalise surtout sur les conséquences, de façon à tirer des enseignements de celles-ci afin de construire une prévention plus efficace. "Nous tachons surtout de réparer après lattaque, dévaluer les dégâts, les dommages, la responsabilité et tout laspect financier".
En somme, ce qui a changé cest surtout le "servicing", cest-à-dire les offres de prestation. AIG propose par exemple des consultations dexperts juridique, informatique, en communication et en négociation dans le cas de ransomware par exemple. Lorsque AIG a proposé sa première offre de cyberassurance, durant deux ans ce sont surtout les entreprises du CAC 40 très exposées qui étaient intéressées. Aujourdhui, la cyberassurance semble être devenue un outil essentiel de la protection contre la cybercriminalité, ou presque.
La cyberassurance, pas la meilleure solution
Michael Bittan est partagé. "Je ne suis pas certain que la cyberassurance soit la meilleure des solutions face à la cybercriminalité". Selon lui, il serait plus efficace dinvestir dans la protection en amont. "Les entreprises ne laissent pas souvent des personnes de lassurance remettre en état le service informatique quand elles disposent pour la plupart déquipes qui sen occupent déjà en interne. Il y a un risque de fuites de données".
Selon Michael Bittan, les grands groupes sassurent souvent ad minima car cela prend sur le budget cyber et napporte pas grand-chose de plus si la compagnie a déjà un niveau de maturité élevé concernant la cybersécurité. "Le vrai marché cest sans doute les PME", estime Michael Bittan.
Lune des raisons pour lesquelles ce nouveau marché que constitue la cyberassurance peine à décoller réside sans doute dans le fait quil nest pas certain que le cyber risque puisse être couvert dans son ensemble.
Comment se protéger en amont
Alors, que faire si la cyberassurance nest pas une solution ? Les experts saccordent à dire : se protéger. Contrairement à Michael Bittan, Alain Guède demeure persuadé que lassurance est un outil essentiel cependant, il évoque aussi trois manières de réduire les risques. Tout dabord, instaurer dans lentreprise une politique de gestion des patchs afin que les failles soient réparées plus efficacement : lattaque Petya avait utilisé la même faille que WannaCry un mois plus tôt.
Ensuite, instaurer des parcs homogènes. "La plupart des grands groupes renouvellent leur parc informatique par tiers ce qui fait que les systèmes dexploitation sont différents et cette pluralité ralentit la diffusion des patchs qui doivent être adaptés à chaque ordinateur", selon Alain Guède.
Enfin, il est utile de réfléchir à une politique de bac à sable, cest-à-dire sous-traiter à une entreprise la gestion des mails. La société déroule les mails à votre place et les fait exploser sans risque pour le serveur ce qui permet de se débarrasser déventuels virus. "Cest comme une maison, si vous êtes cambriolés alors que votre porte était grande ouverte il ne faut pas sen étonner. En revanche, si vous avez disposé des alarmes partout et que vous fermez à double tour il y a moins de risque que ça arrive", conclut Alain Guède.
DATE-CHARGEMENT: July 23, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: CHALLENGESFR
Copyright 2017 Challenges
tous droits réservés
414 of 500 DOCUMENTS
Economie Matin
20 juillet 2017 12:54 PM GMT
Le délégué à la protection des données, élément essentiel pour préserver les données personnelles en entreprise
LONGUEUR: 797 mots
Le règlement général sur la protection des données (RGPD) impose aux entreprises françaises et européennes de revoir leurs pratiques de traitement des données clients, internes et externes. A l'heure du big data, les entreprises sont amenées à gérer des flux de données de plus en plus importants ; la mise en place d'une réglementation se révèle une mesure nécessaire pour la préservation des données sensibles. Le RGPD se substitue à la directive sur la protection des données et prévoit de nouvelles conditions concernant la collecte, l'exploitation et le transfert des données, dont le non-respect entraînera de lourdes amendes. Toutefois, dans certains domaines, ses exigences restent vagues et il peut être complexe à mettre en oeuvre.
Pour y pallier, plusieurs entreprises ont nommé un délégué à la protection des données personnelles (DPO, Data Personal Officer), afin d'assurer son application. Le big data implique pour les entreprises la mise en oeuvre de moyens parfois difficiles à appliquer en interne : le délégué à la protection des données est un intermédiaire clé pour maîtriser les risques. Le RGPD va modifier en profondeur le fonctionnement de tous les départements de l'entreprise (marketing, services RH, services juridiques, etc.). Il concerne les avis de confidentialité, les notifications de consentement ou encore les notifications de faille de sécurité. Dans les RH, l'indication " données personnelles " désignera désormais toute information permettant d'identifier une personne de façon directe ou indirecte (date de naissance, adresse IP ou nom). Les entreprises devront rendre ces données accessibles aux personnes concernées, permettre leur suppression - sous conditions -, et les informer sur leur durée de conservation et leurs mouvements. Les dirigeants cherchent à réajuster en conséquence leurs règles internes. Règles internes : quelles modifications appliquer ? Il est impératif pour les entreprises d'évaluer les risques potentiels liés à leurs pratiques courantes et de modifier les règles actuelles. 1. Vérifier les processus de données en contrôlant les pratiques de conservation (type de données stockées, durée), de traitement et de transfert (en France, en UE ou à l'international). 2. Communiquer de façon compréhensible sur l'utilisation des données personnelles. 3. Tenir compte du droit des individus à l'information en élaborant un processus standard, pour les demandes d'accès aux données et de suppression, par les particuliers concernés. 4. Réviser les avis de confidentialité sans tarder, pour qu'ils soient conformes aux nouveaux paramètres de confidentialité (privacy notices) en vue de les préparer à l'application de la RGPD prévue l'année prochaine : a. de façon concise, transparente, intelligible et facilement accessible ; b. en langage simple et clair, en particulier s'il s'adresse à un enfant ; c. et sans frais. 5. Anticiper les risques et les failles de sécurité de façon immédiate afin de protéger les données individuelles. Quel rôle pour le délégué à la protection des données ? L'article 37 (1) du RGPD exige la nomination d'un délégué à la protection des données (DPO) dans l'un de ces trois cas : 1. le traitement est effectué par une autorité publique ou un organisme public ; 2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ; 3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions. Après examen des lignes directrices du RGPD, les entreprises pourront nommer un délégué à la protection des données : une mesure encouragée par le RGPD. Quelle est l'action du délégué à la protection des données ? Garant de l'application du RGPD, dont le non-respect peut coûter jusqu'à 4% du chiffre d'affaires et entraîner l'interdiction de traiter les données personnelles, le délégué à la protection des données intervient en dehors du management. Il exerce une activité à plein temps qui requiert une parfaite connaissance des données de l'entreprise et de leur politique de traitement. Son rôle évoluera en fonction de l'émergence de nouvelles réglementations. Sans cet intermédiaire, nécessaire à la compréhension des directives de la RGPD, la gestion du traitement des données s'ajoutera aux attributions déjà nombreuses du Chief Digital Officer (CDO) ou du DSI, ce qui sera impossible à gérer. Les entreprises doivent donc impérativement envisager d'intégrer cette compétence à leur personnel.
DATE-CHARGEMENT: 24 juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
415 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Mercredi 19 Juillet 2017
"Beaucoup d'e-commerçants seront pénalisés par le règlement ePrivacy"
AUTEUR: Quentin Ebrard
RUBRIQUE: INTERVIEW; eCommerce
LONGUEUR: 636 mots
ENCART: Débattu au sein de l'Union européenne, le règlement ePrivacy pourrait confier la clef des cookies aux navigateurs Internet. Une proposition qui inquiète le délégué général de la Fevad.
En quoi le nouveau règlement ePrivacy pourrait changer la donne pour les e-commerçants ? Marc Lolivier est délégué général de la Fevad © S. de P. Fevad
Aujourd'hui, les cookies sont essentiels à l'économie numérique. Déposés lors de la première navigation Internet avec accord de l'internaute via une bannière, ils permettent de sécuriser, d'améliorer l'expérience utilisateur sur les sites et de cibler la publicité. Ce système est certes imparfait, mais il a ses avantages car il met en contact les éditeurs directement avec les internautes. Ce modèle économique ne pourrait plus vivre avec un régime cadenassé. Demain, avec la proposition de texte, l'internaute pourrait choisir dès l'installation du navigateur quels types de cookies il souhaite accepter (refus total, cookie first, cookie tiers...). Autrement dit, avec le règlement ePrivacy , les logiciels de navigation seront l'alpha et l'oméga des cookies.
Beaucoup d'e-commerçants seront pénalisés par ce mécanisme, notamment ceux qui ont une logique de média avec de la publicité ciblée. On comprend que ces navigateurs soient un outil, mais ils ne doivent pas être les seuls. Sinon, on laissera l'ensemble de la gestion des données personnelles à quelques acteurs dominants, en particulier Google Chrome, Internet Explorer et autre Safari. Pourquoi confier cette tâche à des sociétés non-européennes ? On sacre ces entreprises dominantes comme des gardes-barrières du web. Le règlement ePrivacy ne doit pas conduire à renforcer la position des grands acteurs du Web en leur confiant les clés d'Internet.
Quelles sont les prochaines étapes clefs?
Le parlement européen pousse pour une adoption rapide entre septembre et décembre 2017. L'Union européenne souhaite synchroniser ce texte en même temps que la mise en application du règlement général sur la protection des données (RGPD) pour le 25 mai 2018. On veut nous faire croire qu'on peut traiter le cas des cookies en quelques mois. Ce n'est pas possible, car le sujet demeure technique, complexe et essentiel. Voilà pourquoi tous les acteurs du numérique concernés agissent main dans la main. C'est du jamais vu : des professions intermédiaires aux e-commerçants en passant par la presse et les annonceurs. Après la position commune adoptée en juin dernier par une quinzaine d'organisations professionnelles du numérique pour demander la révision du texte, nous travaillons maintenant sur les solutions envisageables à soumettre aux décideurs publics. Nous ne rejetons pas l'encadrement des cookies, mais nous voulons un encadrement intelligent, adapté, équilibré, qui tienne compte de la réalité opérationnelle et économique du numérique.
Quelle solution proposez-vous ?
Il nous faut déjà éviter le "une fois pour toute" lors de l'installation du navigateur Internet. L'éditeur doit pouvoir garder un contact direct avec l'internaute. Ce dernier fait souvent confiance à certains médias ou à certains marchands en ligne. Nous voulons que sa décision exprimée sur un site soit prise en compte par les navigateurs. Par exemple, le choix effectué en toute connaissance de cause sur un Vente-privée, un Zalando ou un média doit être respecté par Chrome. Il ne faut pas oublier que même sans cookie, il y aura toujours de la publicité. Sauf que celle-ci risque d'être beaucoup plus présente et sans intérêt pour l'internaute. Est-ce que le consommateur en sortira gagnant ? Contrairement à certaines idées reçues il est tout à fait possible dans ce domaine de faire coïncider l'intérêt des internautes et celui des entreprises. Et c'est tout l'enjeu de cette nouvelle réglementation.
Et aussi : LeCiseau.fr boucle une première levée de fonds d'un million d'euros
Cette place de marché promet de remplir les salons de coiffure aux heures creuses grâce à des réductions de 50% sur les réservations en ligne.
DATE-CHARGEMENT: 19 Juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
416 of 500 DOCUMENTS
IT for Business
18 juillet 2017
Les DSI face aux défis du RGPD
AUTEUR: Pierre Landry
RUBRIQUE: L'ÉVÉNEMENT; Pg. 0010, 0011 N° 2219
LONGUEUR: 1541 mots
ENCART: S'il n'en est pas forcément le pilote, le DSI est un acteur majeur au sein du processus qui doit amener les entreprises à se conformer au Règlement général sur la protection des donnés (RGPD). Point sur ses missions et sur les éléments de sa contribution.
Une opportunité plus qu'un projet contraignant. L'obligation de conformité au RGPD est l'occasion de faire la chasse aux processus mal conçus, aux comptes à privilèges, aux données mal gérées, aux trous de sécurité, à la shadow IT... Ce que DSI et RSSI auraient dû faire depuis des années, mais sans en avoir le temps et les moyens. L'avantage cette fois-ci ? Le sponsoring de la direction, qui va obliger les métiers à coopérer de manière plus volontaire. L'inconvénient ? Un timing serré, qui va probablement obliger à déprioriser certains projets. Mais avec la promesse d'une meilleure connaissance des processus et d'une gouvernance établie qui accéléreront d'autant les projets futurs. « Il faut profiter de cette obligation pour mettre en place une gouvernance saine des données, insiste l'avocate Anne-Sophie Poggi, s'exprimant devant un parterre de DSI. Et faire en sorte que les métiers se préoccupent enfin de la qualité réglementaire de la donnée... » Message entendu. Maintenant, il n'y a plus qu'à mettre les mains dans le cambouis...
Un petit passage par la case juridique s'impose. C'est l'option choisie par Didier Pawlak, DSI de Pénélope, un groupe spécialisé dans les métiers d'accueil (événementiel, centres d'appels, etc.) : « nous n'en sommes qu'au début et nous allons certainement découvrir des choses au fil du temps », reconnaît-il (voir encadré ci-contre). Une incertitude confirmée par Fabien Gandrille, correspondant informatique et libertés (CIL) du groupe Scor et vice-président au sein de l'Association des data protection officers (ADPO), lors d'une conférence organisée par IT for Business : « Cela dit sans aigreur, les consultants n'y connaissent pas grand chose. Tout le monde apprend en marchant ». Le recours à un cabinet est notamment justifié car il facilite la contextualisation juridique de l'application du RGPD dans l'entreprise et la mise en place d'une stratégie. Il confirmera en général les 6 étapes préconisées par la Cnil (voir IT for Business numéro 2218), dont la deuxième, après la nomination d'un DPO, concerne particulièrement les DSI : cartographier les traitements de données personnelles.
S'il serait opportun à ce stade de s'intéresser à toutes les données de l'entreprise, il sera souvent préférable, pour gagner du temps et pour autant que cette distinction puisse être opérée, de ne considérer que celles à caractère personnel ou sensibles. Un précédent inventaire pourra aider, mais il faudra de toute façon refaire « le tour des métiers » pour l'ajuster et le compléter.
Comme pour tout projet, il conviendra ensuite de prioriser les actions en fonction des risques. Ces actions seront selon les cas la révision de certains processus - et des traitements associés - ou le report de la responsabilité de la conformité du traitement sur un prestataire, soit en modifiant les contrats concernés, soit en bénéficiant de la garantie apportée par ce prestataire. Et là c'est une autre affaire...
2 QUESTIONS À...
Vous avez fait appel à un avocat au démarrage de votre projet de conformité au RGPD, pourquoi ?
Pour être sûrs de partir dans la bonne direction, de prendre en compte le
DIDIER PAWLAK DSI DU GROUPE PÉNÉLOPE
bon périmètre quant aux données considérées comme personnelles ou sensibles, et pour nous faire assister dans notre démarche. J'étais accompagné de la DRH et de la CIL du groupe.
Quels enseignements en avez-vous tirés ?
Nous avons passé en revue les différentes étapes à réaliser. Par exemple, nous avions déjà réalisé une cartographie de nos traitements mais nous allons devoir en refaire une, plus précise. Nous allons aussi devoir mettre en place certaines procédures. Cela va durer plusieurs mois et la principale complexité sera d'entraîner tout le monde.
LE BESOIN DE CERTIFICATIONS
Qu'il serait simple de pouvoir télécharger, directement sur le site de la Cnil, les outils à mettre en place, ou de disposer tout au moins d'un annuaire des services existants labellisés « GDPR Ready ». Problème : Ci-dessous : la console GDPR Risk and Compliance Dashboard de Microsoft assure ses clients de la conformité des traitements qu'ils réalisent avec ses applications cloud. ce label n'existe pas et il faudra rechercher à la main si tel progiciel ou telle application satisfait désormais aux critères du RGPD. « Work in progress », indiquent la plupart des éditeurs et des fournisseurs de services cloud sur leurs sites. Tel Dropbox qui précise le travail déjà accompli et être « en bonne voie » pour être en conformité totale avant le 25 mai 2018, ou AWS qui déclare « Nous pouvons vous assurer que tous les services AWS seront conformes au règlement RGPD lorsque celui-ci entrera en vigueur, le 25 mai 2018 ».
AWS appartient à une catégorie de prestataires, ceux d'infrastructures cloud, légèrement plus en avance dans le domaine. L'alliance Cloud Infrastructure Service Providers in Europe (Cispe), qui regroupe certains leaders du cloud tels Aruba, AWS, Ikoula, Outscale ou encore OVH ou SeeWeb, maintient ainsi une liste des services réputés conformes au RGPD sur la page cispe.cloud/publicregister.
Il faut alors peut-être aller chercher du côté de l'Allemagne. Y existe depuis début 2016 la certification Cloud Computing Compliance Controls Catalogue (C5), instituée par le BSI (office fédéral pour la sécurité de l'information) et sur laquelle s'appuie en partie le RGPD. Box a ainsi été la deuxième entreprise certifiée C5 d'une liste qui grossit de jour en jour. L'Allemagne est réputée plus sévère en matière de protection des données personnelles, mais il n'y a pas de correspondance stricte entre C5 et RGPD. Et, comme le rappelait Hélène Legras, DPO d'Areva, dans notre numéro du mois de juin, ce sont les règles nationales qui prévaudront en localisant les règles du RGPD - sans les amoindrir, mais en les précisant le cas échéant.
UN PARASITAGE DE L'INFORMATION
Il n'en reste pas moins que le flou va demeurer un bon moment en ce qui concerne la conformité des éditeurs de logiciels. Que leurs solutions soient de type on-premise ou de type SaaS. À ce titre, jouant sur les « peurs ancestrales », certains n'hésitent pas, pour pousser leurs marchandises, à jeter le doute, pour les uns, sur les solutions à base de cloud (« vous ne savez pas où sont vos données, vous ne les maîtrisez pas »), pour les autres, sur les ERP (« toutes vos données y sont mélangées, liées, et vous n'en maîtrisez pas les traitements »)... Et un nombre incalculable de se prévaloir d'apporter une solution facile au problème du RGPD quand ils n'en règlent au mieux qu'un petit pan technique : la gestion des comptes à privilèges, le chiffrement, l'anonymisation ou la pseudonymisation des jeux de données, l'analyse comportementale des flux réseaux... Des outils qui ont chacun leur utilité, mais ne répondent que très partiellement à la problématique, qui relève plus de la gouvernance et de la gestion du cycle de vie des données (voir à ce sujet notre dossier page 50). L'époque bénéficie en tout cas à Google qui vend efficacement les mots-clés RGPD et GDPR, rendant encore plus difficile la recherche d'informations pertinentes sur le sujet.
PENSER LE FUTUR « BUREAU » DU DPO
S'il était précédemment CIL, le DPO est généralement habitué à Excel avec lequel il maintenait ses registres. Il ne sera alors pas dépaysé par l'interface de l'outil de reporting de Dragon1, éditeur d'outils de collaboration et de BPM, qui propose également des interfaces plus ergonomiques. La mission du DPO dépasse en effet celle du CIL : au-delà de la tenue des registres, il sera également responsable de nouvelles missions, qui seront déléguées à d'autres services, mais qu'il devra piloter. Et plutôt que d'interpeller constamment les autres parties prenantes - il fait toutefois partie de ses prérogatives d'être au contact de ses collègues -, il bénéficiera d'une solution plus intégrée, dont certaines données - attention à la conformité au RGPD - seront partagées avec ces parties prenantes. Qu'il s'agisse de checklists comme celles proposées dans l'outil d'Eurocomply, de voyants indiquant l'état de conformité des processus dans la suite d'outils de documentation d'Ardoq, tout ce qui lui permettra de suivre l'avancement et d'assurer ensuite la maintenance de la conformité sera d'une part une aide considérable et d'autre part un moyen de montrer les efforts réalisés en cas de contrôle. Un concept poussé à l'extrême par Mega International avec son « Bureau du DPO ». Autre acteur majeur du BPM, Software AG propose, lui, la solution GDPR Framework. Une solution de GRC comme celle de Risk'n Tic peut aussi s'avérer utile.
SECURITY BY DESIGN
Le DSI aura aussi pour mission de répondre à la requête de « Privacy by design » du RGPD pour les applications développées en interne. Et, avec le RSSI, il s'attachera à sécuriser encore plus le SI de l'entreprise, en adoptant des architectures « zéro-client », en opérant une micro-segmentation de son réseau... Il n'est pas seul dans la barque - les autres métiers ont également leurs propres missions d'introspection, de sensibilisation... - mais la mer est grande. Et il doit apprendre à naviguer à vue pendant un certain temps en misant sur la vague de mise en conformité qui va progressivement emporter l'ensemble du secteur IT.
DATE-CHARGEMENT: July 17, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
417 of 500 DOCUMENTS
IT for Business
18 juillet 2017
La Matinale
RUBRIQUE: Pg. 0028, 0029 N° 2219
LONGUEUR: 799 mots
ENCART: Ce vendredi 9 juin, IT for Business réunissait 80 décideurs du numérique pour débattre sur le thème « De l'analytics à l'Intelligence Artificielle, comment extraire toute la valeur de votre patrimoine data ». Au programme : stratégie et usages, plateformes et sécurité, organisation et compétences.
Augmenter ses ventes, soigner sa relation clients, développer de nouveaux services, optimiser ses coûts, accélérer les prises de décisions... Arnaud Laroche, partner chez EY, ouvre les débats sur la finalité des stratégies Analytics et Big Data en entreprises. « 70 % des entreprises performantes ont utilisées des solutions d'analyses avancées pour affiner leurs stratégies commerciales » illustre t'il.
S'appuyant sur une enquête mondiale menée avec Forbes, il relève que seulement 7 % des entreprises sont vraiment data driven, 45 % en font encore un challenge, 38 % sont en cours de développement et 10 % sont à la traine.
Par contre, les leaders ont enregistré une hausse de plus de 15 % de leurs revenus et de leurs marges opérationnelles.
Les secteurs en pointe, sont en premier les secteurs télécoms et technologies, puis ensuite manufacturing, finance, pharmacie/santé, media et énergie. Dans le secteur Bancaire, Fabrice di Mambro, Directeur des risques et du Big Data chez Natixis Financement, explique alors comment le Big Data et l'Open Data favorisent l'accès au crédit pour les jeunes. Cette population ayant souvent grand mal à obtenir un crédit, la société est passée d'un octroi sur la base d'un scoring à des critères plus adaptés à la clientèle jeune.
Dans le secteur du luxe, Guillaume Jourdan de Vitabella Luxury Wine explique comment il conseille les grands vins dans leur communication grâce au Big Data (e-reputation, ciblage de clients, détection de tendances).
Dans le secteur du commerce et de la distribution, Géraldine Bouillot, Team Leader de l'équipe Pre-Sales chez Cheetah Digital explique comment un vendeur de vêtements allie l'agilité des plateformes de communications cross-canales à la puissance de l'IA pour engager des interactions personnalisées avec le consommateur, afin d'accroitre la satisfaction client ainsi que les revenus de la marque.
Laurent Vanel, Leader Technique Cognitive Systems chez IBM France, poursuit avec des exemples de cas d'usages de l'IA dans l'automobile et les transports (conduite autonome, détection des piétons, prévention des accidents), les médias (traduction temps réel, recherche de contenu, recommandations), sécurité (vidéo surveillance, analyse d'images, reconnaissance faciale), médecine et biologie (découverte de molécules, assistance aux diagnostics, détection de cellules cancéreuses)... Il explique alors le mille-feuilles du SI intégrant différentes briques applicatives, allant de l'exploration à l'analytics en passant par la gestion en temps réel des process.
Les promesses de l'analytics et de l'IA sont immenses, mais il conviendra d'être toutefois vigilant sur la réglementation et sur la sécurité des données. Le RGPD, règlement sur les données personnelles, fait partie de ces contraintes qui peuvent freiner les ardeurs du marketing. Cependant, après avoir expliqué les principaux enjeux (échéance du 25 mai 2018, amende jusqu'à 4 % du CA...), Anne-Sophie Poggi, avocate, présente le RGPD comme une opportunité. Opportunité de faire une cartographie de ses données, utiles aux projets Big Data ; opportunité pour les fournisseurs de services d'être plus transparents, gage de confiance ; opportunité pour l'Europe enfin de reprendre la main sur les US en matière de protection des données. Fabien Gandrille, DPO et CIL de SCOR et administrateur de l'association des DPO, appuie ces propos tout en notant la complexité de mise en marche du sujet RGPD selon le secteur d'activité. Les niveaux de maturité sont très hétérogènes, certaines entreprises en sont au stade de l'information, d'autres de l'audit et de l'analyse de risques.
Nacira Guerroudji-Salvan, Présidente du CEFCYS (CErcle des Femmes de la CYberSécurité), insiste quant à elle sur la nécessité de prendre la ques-tion de la sécurité très en amont des projets (Sécurity By Design). La sécurité doit sortir de l'IT, pénétrer dans les Labs Digitaux, c'est un sujet transverse.
Emmanuel Stanislas, Fondateur du Cabinet de recrutement CLEMENTINE, relève certes les difficultés de recrutement dans la DATA, mais souligne surtout la nécessité d'attirer les talents et de les retenir. Il faut bâtir et raconter une belle histoire qui donne envie.
La table ronde de clôture met l'accent sur l'importance de changement de Gouvernance de ces projets : la nécessité de se mettre en mode agile et orienté design thinking pour Vincent Lauriat, DSI de la Brinks ; la co-construction avec les métiers et l'ouverture du SI pour Alain Guede, DSI de Saretec ; le mode test & learn pour Raphaël Pousset-Bougère, Big Data and Analytics VP chez IPSEN.
Plus qu'un changement d'organisation, les entreprises vivent un vrai bouleversement culturel.
DATA 2017
De l'analytics à l'Intelligence Artificielle, comment extraire toute la valeur de votre patrimoine data
DATE-CHARGEMENT: July 17, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
418 of 500 DOCUMENTS
IT for Business
18 juillet 2017
Maîtrise du cycle de vie de l'information : une compétence en cours d'acquisition
AUTEUR: Patrick Brébion
RUBRIQUE: Pg. 0050, 0051, 0052, 0053 N° 2219
LONGUEUR: 1497 mots
ENCART: La transformation numérique des entreprises a (re)positionné la donnée au centre du système d'information, remettant en exergue sa dématérialisation comme sa conservation. Si la mise en place des outils de numérisation comme de partage est désormais banalisée, les entreprises n'ont pas encore aligné leur organisation sur cette nouvelle stratégie.
Directeur consulting chez Umanis, Denis Skalski travaille surtout pour les grands comptes. Le cycle de vie de l'information est devenu pour lui un sujet stratégique. « Motivées par les projets de transformation numérique, toutes les entreprises sont concernées. Nous constatons de nombreuses sollicitations sur ce sujet », assure-t-il. Perception légèrement différente pour le groupe Serda, un cabinet de conseil qui oeuvre pour la bonne gouvernance de l'information. Pour Caroline Buscal, qui en dirige l'activité consulting, « un nombre croissant d'organisations nous interrogent sur le bon mode opératoire pour passer au paperless. C'est une vague de fond qui concerne tous les secteurs. Par contre, les projets concernant l'ensemble du cycle de vie avance plus lentement ». Serda édite un rapport annuel sur la gouvernance des données, dont une partie porte sur le cycle de vie. Il s'appuie sur une enquête réalisée auprès d'environ 400 répondants. a lancé un projet pour détruire ses archives physiques une fois passée l'étape de numéri-sation », souligne Franck Mahé.
... pour des organisations qui le sont moins
Sur le terrain, transformation numérique oblige, les entreprises tentent de prendre le problème à bras le corps. S'ils dépendent bien sûr de la taille de l'organisation, les chantiers à mener - dé-si-loter, repositionner le système d'information de manière transversale, ou encore numériser les processus métier - sont nombreux. Mais, au-delà des choix et de la mise en oeuvre des technologies, il s'agit en fait de repenser et de réorganiser l'entreprise. Souvent, la première question qui se pose est tout simplement : « Est-ce bien la bonne donnée que j'utilise ? », constate Denis Skalski, dont la société travaille actuellement sur une dizaine de projets de MDM, entre autres pour répondre à cette question. Pour lui, « il s'agit d'abord globalement de revoir la gouvernance, de redonner du pouvoir aux métiers ». Une tendance qui apparemment se confirme. De son côté, Caroline Buscal constate même un rééquilibrage : « la DSI ne voit pas forcément l'impact sur l'organisation. A contrario, les métiers n'imaginent pas les conséquences en termes de système d'information. Mais, depuis quelque temps, les relations s'améliorent. L'un des facteurs sous tendant ces meilleures relations tient aux outils de GED et d'ECM : le succès dans leur utilisation a contribué à les faire travailler ensemble ». Au-delà du duo DSI-métier, les consultants pointent unanimement le problème que constitue l'absence d'un homme clé pour prendre en charge la donnée. Franck Mahé assène : « le responsable de la donnée n'existe pas. Certes, dans les entreprises qui ont une approche data, il existe parfois un poste pour coiffer les applications big data. Dans certains cas, il s'agit parfois d'une fonction liée au MDM, à la gouvernance des données maîtres. Parfois encore, on nomme un responsable des données soumises à la réglementation. ». Même chez les grands comptes, « on a rarement affaire à un chief data officer », constate Denis Skalski.
Parallèlement, l'organisation doit évoluer. « Par exemple, un prospect qui est au départ géré par le marketing devient, s'il signe, un client géré par le commercial. Ensuite, il est éventuellement géré par le service contentieux en cas de problème... », décrit Denis Skalski. Mettre en place le cycle de vie de la donnée suppose de revoir l'organisation. « Les approches de MDM embarquent des fonctionnalités de workflow. Il s'agit de passer d'un modèle géré par l'IT à un autre, transversal », ajoute le consultant. Étape complémentaire, une approche documentaire doit être définie pour encadrer tout ce qui permet de gérer le cycle de vie de l'information, « comme le plan d'archivage, les règles de destruction, les fonctions de purge... », énumère Caroline Buscal. En d'autres mots, il s'agit conjointement de mieux gouverner la donnée, de revoir sa circulation, son état, et de mettre en place l'organisation ad hoc. Or, si l'on en croit l'enquête de Serda, 40 % des interrogés se posent la question de savoir si le cycle de vie rentre bien dans la gouvernance de l'information. Si la moitié pense démarrer par la cartographie de l'existant, les étapes suivantes sont moins bien appréhendées. « Dès que l'on parle de qualité des données, de mise à jour, d'authentification, de traçabilité, de cycle de vie de conservation, les choses deviennent plus compliquées », regrette Caroline Buscal. Difficulté supplémentaire, la structure de certaines sociétés complique ces projets. « Certaines sociétés d'assurance ont des modèles basés sur de l'intermédiation. Dans ces conditions, il est difficile d'accéder à la bonne information », illustre Franck Mahé.
À l'heure où bon nombre d'entreprises sont encore à la recherche du business model qui leur donnera une position de force dans une économie numérique, leur capacité à maîtriser le cycle de vie de l'information - son acquisition, son usage, son partage, sa commercialisation sous certaines conditions, sa mise à jour, sa destruction - sera déterminante pour leur succès. ·
Si 70 % d'entre eux indiquent le lancement de projets de dématérialisation, le chiffre tombe à environ 35 % pour le cycle de vie, ou plutôt « des éléments de cycle de vie, insiste Caroline Buscal. Comme, par exemple, tous les documents importants servant à établir un contrat jusqu'à la mise en place d'une contrathèque ». Une démarche positive, mais incomplète.
Les chantiers à mener - dé-siloter, repositionner le système d'information de manière transversale, ou encore numériser les processus métier - sont nombreux.
Gros consommateur de papier, le secteur de la bancassurance a depuis longtemps numérisé la quasi totalité des flux papier. Associé chez TNP, Franck Mahé confirme : « la plupart des assureurs ont déjà mis en place des solutions de dématérialisation. Ils en sont à l'étape suivante : comment exploiter au mieux les données numérisées ? ». Mais, là encore, ces projets sont rarement portés par une vision globale et se limitent à une internalisation des informations quand les usages impliquent une ouverture. Exemple, si la dématérialisation d'un courrier client et l'intégration dans une application de CRM facilitent la tâche des conseillers chargés de répondre au téléphone, « il serait également légitime de le verser automatiquement dans l'espace en ligne du client, et ce, d'autant plus que cette action est quasi transparente techniquement », explique Franck Mahé.
« Dès que l'on parle de qualité des données, les choses deviennent plus compliquées ». Caroline Buscal, directrice du consulting, groupe Serda
Des technologies matures...
Passée l'étape de dématérialisation, « ou de non matérialisation pour les PDF, les formulaires web, les e-mails... », détaille Franck Mahé, les données, notamment celles qui sont structurées, sont intégrées dans les applications métier, tandis que celles qui ne le sont pas sont plus souvent versées dans des logiciels de gestion électronique de documents (GED) ou d'enterprise content management (ECM). Des usages largement répandus, notamment dans les assurances, selon Franck Mahé. Pour Caroline Buscal, cette entrée dans les moeurs tient en particulier à la maturité technologique des outils : « Alfresco, OpenText et Documentum, pour ne citer qu'eux, sont stables et proposent un large périmètre fonctionnel ». Confrontés à un existant logiciel multiple, les grands comptes tentent parfois la carte du MDM (Master data management). Quelques points de blocage subsistent tout de même. « Le flux e-mail est encore loin d'être automatiquement intégré, alors même que l'offre technologique, d'outils sémantiques notam-ment, est disponible », décrit Franck Mahé.
Si leur adoption demeure beaucoup plus limitée à ce jour, les solutions de système d'archivage électronique (SAE) sont également matures. Les premiers projets comportant toutes les facettes émergent. Au-delà de la dématérialisation, les organisations mettent en place de véritables SAE intégrés « qui, par exemple, décommissionnent des données issues d'applications métier pour les verser automatiquement dans les archives », illustre Caroline Buscal, qui travaille actuellement avec un Conseil régional sur ses documents RH. « Les dossiers des agents, présents et à venir, sont désormais dématérialisés. 2017 et 2018 vont être consacrées à la reprise de l'existant, à la mise en place du parapheur et de la signature électronique. Les volets archivage et RGPD suivront », décrit Caroline Buscal. De son côté, Denis Skalski constate : « les demandes d'archivage sont mises en exergue par le RGPD. Pour l'instant, la réaction habituelle est de tout garder. Ce qui présente un risque. Certaines données ont vocation à être supprimées à l'issue d'un certain délai ». Les entreprises ont même encore le réflexe de conserver le papier bien que la réglementation les autorise à le détruire une fois la numérisation effectuée dans certaines conditions. « Nous avons un seul client qui
DATE-CHARGEMENT: July 17, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
419 of 500 DOCUMENTS
IT for Business
18 juillet 2017
Un domaine de plus en plus règlementé
RUBRIQUE: Pg. 0058 N° 2219
LONGUEUR: 722 mots
ENCART: L'information et son cycle de vie sont soumis à un nombre croissant de réglementations et de normes. Le RGPD renforce certaines contraintes.
Depuis 2001, un ensemble de lois a progressivement fait avancer le numérique, qu'il s'agisse de la loi pour la confiance en l'économie numérique (LCEN), de la loi de modernisation de l'économie (LME) ou, plus récemment, de l'ordonnance de février 2016 qui donne force probante à l'écrit et aux copies électroniques. Un palier a été franchi en décembre 2016 par un décret qui autorise la destruction de l'original papier sous réserve que la numérisation ait été réalisée dans des conditions fiables. Ainsi, le contexte de la numérisation, en particulier la date de création de la copie, doit être documenté. L'intégrité des données doit éga-lement être garantie, par l'utilisation d'une empreinte, d'un horodatage et d'un cachet ou d'une signature électronique. En outre, la copie doit être conservée dans des condi-tions propres à éviter toute altération de sa forme ou de son contenu. Ces exigences sont rassemblées dans la norme NF Z42-026 tout récemment publiée par l'Afnor.
Une réglementation qui s'européanise
Le règlement eIDAS, entré en vigueur il y a un an, assure par ailleurs un cadre européen uniformisant les règles de qualification des tiers de confiance. Il a pour objectif de booster la dématérialisation de tous les documents. Le Comité européen de normalisation vient de finaliser la définition d'un modèle commun de facture électronique applicable dans tout l'espace européen et poursuit des travaux similaires pour de nombreux autres types de documents (relevés bancaires, bulletins de paie, contrats, lettres recommandées, souscriptions d'assurance, etc.). De son côté, la FNTC (Fédération nationale des tiers de confiance) met à disposition sur son site un vade-mecum juridique de la dématérialisation des documents regroupant toutes les dispositions légales.
dispositions légales. Parallèlement à la réglementation, des normes ont été définies notamment pour la dernière étape, à savoir l'archivage. Pour qu'il soit à valeur probante, le système d'archivage électronique (SAE) doit respecter la norme NF Z42-013. La certification se fait sur la base d'un audit par un prestataire agréé par le Comité français d'accréditation (Cofrac). Pour les projets internationaux, c'est la normalisation ISO 14641-1, assez opérateurs disposent d'ailleurs des deux certifications. Ces règles sont renforcées dans certains secteurs. Un agrément SIAF (Service Interministériel des Archives de France) est ainsi nécessaire pour les archives des collectivités territoriales. Pour les documents contenant des données de santé à caractère personnel, c'est l'agrément HDS (Hébergeur de données de santé) délivré par l'ASIP Santé qui est requis.
D'autres contraintes portent également sur les documents et justificatifs à caractère fiscal (factures, tickets de caisse, bons de commande, bons de livraison, états comptables...), dont la localisation doit se faire sur le territoire français ou dans un pays appartenant au périmètre de confiance européen. Mais, pour des raisons de confidentialité, il est également indispensable de contrôler la nationalité de la société assurant l'hébergement. Si le prestataire est d'origine états-unienne (24 % de son actionnariat suffit), il doit répondre aux requêtes d'accès des autorités locales (police, FBI, douanes, etc.). Autre exemple : les sociétés israéliennes sont, elles, obligées de communiquer les clés de cryptage à leur gouvernement. · Stéphane Darget
ANTHONY COQUER PRÉSIDENT DE LA COMMISSION RESPONSABILITÉ ET PROTECTION, ASSOCIATION ADPO
Comment la durée de conservation des données personnelles est-elle impactée par le RGPD ?
Le RGPD stipule que la durée d'archivage doit être proportionnelle à la finalité du traitement. Si la finalité évolue au cours du temps, cette durée doit aussi changer. Un badge servant à l'authentification peut devenir un mécanisme de pointage : la conservation des logs d'accès devra être adaptée en conséquence.
Il faut donc établir la carte d'identité du traitement et documenter toutes ses évolutions pour déterminer cette durée.
Que se passe t-il en fin de vie de ces données ? Le DPO doit veiller à ce que les données soient effectivement détruites et tracer ces purges. L'effacement pur et simple n'est pas la seule option : il peut également être possible d'anonymiser ou de pseudonymiser certaines données, à des fins statistiques par exemple.
DATE-CHARGEMENT: July 17, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
420 of 500 DOCUMENTS
Les Echos Business
mardi 18 juillet 2017
Le délégué à la protection des données : une force pour l'entreprise
RUBRIQUE: ARTICLE; Le DPD, point de contact privilégié
LONGUEUR: 708 mots
ENCART: PAROLES D'AVOCATS (1/12). Facultatif ou obligatoire, le DPD constituera un atout majeur pour permettre aux entreprises de relever les défis du règlement général européen sur la protection des données personnelles.
Le délégué à la protection des données (DPD), qu'il soit facultatif ou obligatoire, constituera un atout majeur pour permettre aux entreprises de relever les défis du règlement général européen sur la protection des données personnelles (RGPD), applicable à compter du 25 mai 2018, et plus généralement des nouvelles réalités numériques.
Le RGPD soumet non seulement les entreprises à de lourdes obligations dans divers domaines - information exhaustive des personnes, tenue d'un registre des traitements, notification des failles de sécurité, mise en place d'analyses d'impacts, etc. - mais leur impose également de mettre en oeuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles applicables (accountability). Dans ce contexte où chaque projet doit faire l'objet d'un encadrement particulier et où chaque département de l'entreprise est susceptible d'être impliqué, la nécessité de faire appel à un « chef d'orchestre » est évidente. Le DPD, grâce à son expertise et à son positionnement au sein de l'entreprise, peut alors, seul ou assisté d'une équipe, faire le lien entre les différents protagonistes, informer et conseiller les décideurs pour sécuriser les initiatives, contrôler le respect de la réglementation dès la conception de projets, piloter la conformité tout en s'adaptant aux contraintes de développement, documenter les process de traitement pour être prêt en cas de contrôle, etc.
Le DPD, point de contact privilégié
Le DPD est tout d'abord l'interlocuteur de référence des autorités de protection des données. Il bénéficie ainsi de relations privilégiées avec la CNIL, lui permettant notamment de solliciter ses conseils et avis et de traiter directement avec elle en cas de contrôle. Le DPD est également l'interlocuteur principal au sein de l'entreprise pour tout ce qui a trait à la protection des données personnelles. L'application du RGPD impliquant d'importants changements organisationnels, le DPD peut aider à coordonner la mise en oeuvre des mesures nécessaires et faire le lien avec les salariés et les instances représentatives du personnel. Enfin le DPD pourra être amené à interagir en priorité avec les personnes dont les données sont traitées pour répondre à leurs questions et requêtes.
Le potentiel lié à l'exploitation des données est aujourd'hui considérable, à condition de s'être doté des bons outils de contrôle et des bonnes pratiques pour protéger et valoriser lesdites données. A l'inverse, une mauvaise gestion peut entraîner pour l'entreprise une série de risques majeurs, à la fois juridiques, économiques et d'atteinte à la réputation. Or, contrairement aux autres actifs de l'entreprise, les données, y compris personnelles, sont souvent collectées de manière massive et anarchique au détriment d'une approche stratégique et structurée. L'entreprise se trouve alors souvent en possession de données de qualité médiocre, excessives et sous-exploitées. Le DPD, en s'inscrivant dans une démarche de « gouvernance » des données, peut alors aider les organes de direction à définir une stratégie pérenne et pragmatique permettant d'exploiter au mieux ces données tout en restant garant de leur utilisation. Le DPD constitue en outre la preuve d'un comportement éthique de la société et contribue en cela à en valoriser l'image et à établir un cadre de confiance pour les partenaires.
Ainsi il ne fait nul doute que le DPD a vocation à occuper une place centrale et stratégique au sein des entreprises. Il appartiendra alors à celles ne souhaitant pas nommer de DPD de documenter leur position afin d'être en mesure de la justifier en cas de contrôle des autorités. En revanche pour les entreprises qui en nommeront un, par obligation ou par choix, il est crucial qu'elles se mettent dès à présent à la recherche d'un profil adapté : les estimations portant à 28.000 le nombre de DPD nécessaires en Europe pour assurer la conformité avec le RGPD et les candidats compétents étant rares, le temps presse !
Florence Chafiol, associé, et Stéphanie Lapeyre, avocat, cabinet August Debouzy.
Tout l'été, retrouvez chaque mardi et jeudi la série « Paroles d'avocats »
Prochain épisode : « Chef d'entreprise, face aux difficultés, ne restez pas seul », Laurent Jourdan (Racine).
DATE-CHARGEMENT: 19 juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
421 of 500 DOCUMENTS
Banque & Stratégie
13 juillet 2017
Panorama législatif de la protection des données : la France dispose d'un arsenal étoffé
LONGUEUR: 1618 mots
ENCART: La protection des données personnelles est devenue un objectif primordial dans le cadre du développement d'une société de plus en plus digitale et où l'on recueille des informations partout, pour tout, et tout le temps. Cette protection passe notamment par l'Union européenne avec le RGPD. Cependant sur le plan national, la loi pour une République numérique et la loi relative au renseignement s'en sont également chargées faisant de la France, l'un des pays où les utilisateurs restent les plus protégés.
L'Union européenne tente d'imposer des règles strictes et rigides en comparaison avec l'état du droit outre-Atlantique qui confère aux données personnelles un caractère beaucoup plus commercial. Effectivement, la masse de données collectées représente plusieurs milliards de dollars[1] que les entreprises sont prêtes à débourser pour mieux connaître le client donc mieux vendre (et surtout vendre plus). Mais cette conception n'est pas celle retenue en Europe de l'Ouest où les données personnelles sont reconnues pour leur caractère confidentiel plutôt qu'économique.
Une protection aux enjeux multiples
L'un des enjeux s'illustre particulièrement dans le cadre de la lutte contre le terrorisme qui nécessite, par sa nature même, d'obtenir le plus de renseignements, spécialement confidentiels, sur un nombre grandissant d'individus potentiellement menaçants.
Autre exemple, des centaines de start-up se lancent dans le développement d'applications permettant de faciliter les actions du quotidien et ont recours à une collecte et un stockage de données à caractère privé. C'est par exemple le cas des applications destinées à la livraison de médicaments ou encore pour ce qui concerne les RegTechs, des solutions proposées aux banques pour les délester de la charge des processus de KYC (Know Your Customer).
Autant d'intérêts divergents en jeu, qui font l'objet de l'attention des législateurs français et européen : ceux-ci multiplient les textes visant à encadrer la collecte, le traitement et la sécurité des données personnelles.
Ainsi, le Parlement et le Conseil européen ont adopté le 27 avril 2016[2] le règlement général sur la protection des données (RGPD), qui entrera en vigueur en France le 24 mai 2018. Ce texte a pour but d'adapter la position européenne sur les réalités du numérique, et, selon la CNIL (Commission nationale de l'informatique et des libertés), en poursuivant deux principaux objectifs[3] : renforcer les droits des personnes et responsabiliser les acteurs du traitement des données.
Le RGPD et l'exigence de consentement
Le premier objectif passe d'abord par le consentement de l'utilisateur qui doit être informé de l'usage de ses données et doit par conséquent donner son accord en ce sens, la charge de la preuve du consentement reposant sur le responsable du traitement.
Ensuite, l'Union prévoit la création de nouveaux droits permettant d'atteindre cet objectif de renforcement de la protection. On retrouve ainsi le droit à l'oubli enfin consacré au niveau européen ou encore le droit à la portabilité des données qui permet à l'utilisateur de récupérer ses données sous un format réutilisable afin de lui redonner la maîtrise de ses propres informations. Également, une disposition spécifique concerne les mineurs pour lesquels il faudra, en principe, recueillir l'autorisation parentale. Là encore, on voit mal comment cette exigence pourrait fonctionner en pratique, dans la mesure où il existe déjà des dispositifs de ce type facilement contournés par les enfants.
Cependant, une mesure particulière doit retenir notre attention car elle pourra avoir un vrai poids face aux géants responsables du traitement des données : l'action collective. Les associations dont l'objet recoupe l'intérêt de protection des données personnelles pourront agir en action collective au nom de milliers d'utilisateurs victimes d'un préjudice. C'est particulièrement efficace car ces actions bénéficient d'une couverture médiatique accrue comparée à un litige entre seulement deux parties ; une pression publique de nature à dissuader les responsables de jouer avec nos données.
Enfin, le règlement ouvre un droit à réparation du préjudice corporel ou moral causé par la transgression de ses propres dispositions de nature à assurer son efficacité pratique : si l'on ne sanctionne pas, la règle n'a plus d'intérêt.
Les nouvelles obligations des responsables de traitement
Le second objectif vise à responsabiliser les acteurs du traitement des données en mettant à leur charge de nouvelles obligations de sécurité. Le but est de prendre en compte ce principe de protection dès la conception du système de traitement des données (privacy by design) par l'application de nouveaux outils de conformité : certification des traitements, notification des failles, tenue d'un registre des traitements mis en oeuvre, réalisation d'étude sur l'impact sur la vie privée, création d'un poste de délégué à la protection des données et adhésion à des codes de conduite. En ce sens, la notification des failles de sécurité à l'autorité compétente est une disposition importante, car elle empêche les responsables de passer sous silence un problème de sécurité, ou sa gravité, et oblige même dans certains cas à prévenir les utilisateurs concernés par la faille.
Le respect de ces dispositions est assuré par la possibilité de prononcer des amendes administratives qui peuvent s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre annuel mondial[4] (et non seulement de celui de l'État où l'infraction est commise). Les GAFA n'ont qu'à bien se tenir.
Les dispositions de la loi pour une République numérique
Mais l'Union européenne n'est pas le seul échelon à agir dans la protection des données personnelles et le législateur français s'en est également chargé dans le cadre de l'adoption de la loi pour une République numérique.
Certaines dispositions ont anticipé celles du règlement européen et le texte, définitivement adopté le 7 octobre 2016[5], assure la transition vers une République numérique. À l'instar du règlement, la loi prévoit que l'utilisateur reprenne la maîtrise et le contrôle de ses données sous l'affirmation d'un droit à l'autodétermination informationnelle. Le droit à l'oubli est également évoqué, mais dans une version spéciale adaptée aux mineurs afin de mettre en place une procédure accélérée pour l'exercice de ce droit.
De plus, le texte permet d'organiser le sort de ses données personnelles après sa mort en donnant des directives relatives à leur conservation ou suppression. Ces directives sont soit générales (portant sur toutes les données), soit particulières (portant sur certaines données spécifiques). Dans le premier cas, le tiers de confiance à qui sont confiés les ordres doit être certifié par la CNIL alors que dans le second cas il suffira simplement de recueillir son consentement éclairé.
Enfin, la pratique du « revenge porn » est spécialement consacrée dans le code pénal à l'article 226-2-1[6] prévoyant une peine d'emprisonnement de deux ans et une amende de 60 000 euros. Cela consiste en la publication sur internet d'images ou vidéos à caractère sexuel et publiées, en général, par l'ex compagnon aux fins de revanche.
Parallèlement, le texte prévoit d'attribuer de nouvelles compétences à la CNIL avec un pouvoir de sanction élargi : le plafond maximal passe 150 000 euros à 3 millions même si cela reste encore loin des 20 millions imposés par le règlement de l'Union européenne.
Toutes ces nouvelles règles s'inscrivent dans un contexte général de renforcement de la protection des données personnelles mais restent assez éloignées d'une situation imposée depuis quelques années en France par le terrorisme. En effet, la traque de ces individus requiert d'avoir recours à des méthodes toujours plus intrusives et portant atteinte au respect de la vie privée donc à la protection des données personnelles.
Les mesures inscrites dans la loi relative au renseignement
Ainsi, au lendemain des attentats de janvier 2015, la France s'est dotée d'une nouvelle loi relative au renseignement[7] permettant de faciliter les mesures de surveillance et d'interception des données.
Toute l'attention s'est alors portée sur la conciliation entre ce besoin urgent de surveillance et l'objectif déjà établi de protection des données personnelles. Pour y répondre, le législateur a symboliquement consacré le premier article de cette loi au respect de la vie privée.
Dès lors, il est expliqué que l'autorité publique ne peut y porter atteinte que de manière proportionnée et dans les cas de nécessité d'intérêt public posés par la loi. Dans ces cas, on retrouve notamment la prévention du terrorisme et la protection de l'intégrité du territoire. Mais cela ne suffit à l'évidence pas à maintenir un niveau correct de protection des données personnelles et c'est pourquoi une procédure spéciale de mise en oeuvre des techniques de recueillement a été créée. Ainsi, c'est le Premier Ministre qui dispose du pouvoir d'autoriser la surveillance dont les motivations doivent être explicites, sous avis préalable d'une Commission nationale dédiée et pour une durée maximale de 4 mois.
Enfin, et s'agissant des données collectées grâce à cette surveillance, elles doivent être détruites sous 30 jours, 125 jours ou 4 ans selon la technique qui a été utilisée pour les obtenir. Aussi, elles ne peuvent être utilisées que dans le cadre des cas de nécessité d'intérêt public suscités.
Cette protection reste toutefois assez relative dans la mesure où l'intéressé n'est pas informé de la mesure de surveillance et où on imposera le secret défense comme obstacle à toute intrusion dans le processus de collecte des informations.
Un arsenal complet
L'arsenal législatif français est donc complet quant à la protection des données personnelles et c'est certainement l'un des pays où les utilisateurs bénéficient de plus de droits. Tant que l'intérêt de la nation n'est pas en jeu, on peut légitimement considérer que la protection est suffisante et efficace car répondant aux enjeux pratiques déjà observés depuis plusieurs années. Cependant, dès lors que l'on se rapproche des questions de terrorisme et de défense de la nation, cette protection apparaît sous un jour plus fragile et précaire.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
422 of 500 DOCUMENTS
Banque & Stratégie
13 juillet 2017
Gestion des risques : les nouveaux usages des données à caractère personnel
LONGUEUR: 1637 mots
ENCART: La capacité à exploiter une masse toujours plus considérable de données personnelles peut conduire à un changement dans la gestion du risque, tant des banques que des compagnies d'assurance, et aboutir à des tarifications plus personnalisées de leurs offres de services. Jusqu'où peut-on aller dans cette voie ?
L'apparition des nouvelles technologies modifie profondément l'usage qui est fait des données au sein des entreprises. Toujours plus nombreuses et avec des algorithmes de plus en plus puissants pour les analyser, les données à caractère personnel constituent une opportunité considérable pour les gestionnaires de risque que sont les banques et les assureurs. Les outils qui leur sont désormais proposés entraînent cependant l'apparition de nouveaux risques qui ont été pris en compte par le législateur.
I. De nouvelles opportunités pour les gestionnaires de risques
Détenteur d'un grand nombre d'informations sur leurs clients, les banques et les assureurs sont naturellement disposés à être séduits par les possibilités d'usages des données à caractère personnel qu'offrent les nouvelles technologies. En effet, dans le cadre de la réglementation Bâle II et Solvabilité 2, ces derniers sont soumis à des exigences qualitatives concernant les règles de gouvernance et de gestion des risques. À ce titre, ils doivent procéder à des évaluations de risque et peuvent être tentés d'utiliser les outils d'analyse du Big Data afin d'optimiser leurs modèles de calcul. En outre, cette méthode pourrait servir également à proposer une tarification personnalisée aux clients en fonction de leurs profils de risques.
L'usage du Big Data pour l'octroi de crédit
Les banques prêtent de l'argent uniquement après avoir évalué la solvabilité de leurs clients, évaluation qui se fait sur la base d'une note qui est attribuée à chaque candidat au crédit. Traditionnellement, la construction de ce que les professionnels appellent la note de score s'établit en fonction d'informations détenues par les banques sur leurs clients (montant épargné, historique de paiement, détention d'un autre crédit, situation familiale...). Désormais, outre ces informations, certaines sociétés proposent d'utiliser des données disponibles sur le Big Data pour le calcul de ce score.
Ainsi, la société Américaine Friendly Score octroie des crédits en se basant sur le nombre de « like » obtenus sur facebook par leurs clients et sur le nombre de relations observées dans les réseaux sociaux.
La société Chinoise BAIDU utilise quant à elle les historiques de consultation d'Internet afin d'évaluer si cette personne remboursera ou non son crédit. Elle considère par exemple que le fait de se connecter entre minuit et 12 heures est un élément qui, conjugué avec d'autres, permettra d'affirmer qu'une personne ne sera pas digne de confiance pour l'obtention d'un prêt.
En France et en Europe, l'utilisation des données personnelles étant davantage encadrée, ces procédés ne sont pas encore utilisés. Ils n'en constituent pas moins des pistes de réflexions importantes pour les sociétés financières, toujours en quête de nouveaux marchés.
L'usage des objets connectés par les assureurs
En matière d'assurance, le prix de la souscription est proposé en fonction du risque couvert par les assureurs. Plus la probabilité et la gravité de ce risque sont importants, plus le prix sera élevé.
Ce risque, à l'instar des banquiers, est calculé de manière uniforme sur la base d'informations détenues sur les clients par les compagnies d'assurance (marque du véhicule, année de fabrication du véhicule, date du permis de conduite...).
Au regard de la richesse et de la masse de données collectées par les objets connectés (smartphone, bracelet électronique, capteur...), il peut être intéressant pour les assureurs de les utiliser, dans le but d'affiner la méthode de calcul de leurs risques.
Plus encore, l'étude de ces données collectées en temps réel permet d'identifier et d'analyser le comportement des clients. Il est dès lors fort tentant pour les assureurs de proposer une tarification personnalisée en fonction de ce comportement. Basé sur cette logique, le concept de « Pay how you drive », déjà fortement développé au Royaume-Uni et aux États-Unis, commence à voir le jour en France.
Le principe est simple : il est demandé aux souscripteurs d'assurance automobile d'installer une boîte noire dans leur véhicule ou une application sur leurs smartphones. Une fois activés, ces objets connectés vont collecter un certain nombre de données afin d'analyser le comportement du conducteur : position GPS, distance parcourue, temps de conduite sans arrêt, vitesse, manière de freiner, horaires de conduite, etc. Si la conduite du client est estimée comme n'étant pas dangereuse, celui-ci pourra alors bénéficier d'une réduction.
Ce système est susceptible d'être étendu aux assurances santé : après l'analyse des données collectées via un bracelet électronique (fréquence cardiaque, performance sportive...), il est en effet possible de proposer une tarification personnalisée en fonction de l'hygiène de vie du client. Dans cette optique, plus le client mangera une nourriture saine, plus il pratiquera une activité sportive et moins le prix de sa police d'assurance sera élevé. À l'inverse, la personne qui consomme de l'alcool et du tabac pourra se voir financièrement pénalisée. Proposé à l'étranger et malgré un lobbying important, ce pas n'a pas encore été franchi en France. Les compagnies d'assurance françaises se contentent pour le moment d'octroyer des avantages en nature et non des avantages financiers.
II. Les nouveaux risques et le cadre réglementaire de protection des données personnelles
Si l'utilisation des nouvelles technologies constitue de réelles opportunités pour les banques et les compagnies d'assurance, ces procédés engendrent de nouveaux risques. Des risques que le législateur européen a pris en considération.
Les nouveaux risques engendrés par l'usage des technologies numériques
Les technologies que les banques et les assurances vont utiliser et généraliser dans le futur, les amèneront, encore plus qu'aujourd'hui, à détenir une masse colossale de donnée et d'informations. La connaissance qu'elles auront de leurs clients représente un risque certain pour le respect de la vie privée de ces derniers et de leurs libertés individuelles. Sur ce point, on peut imaginer que ces professionnels leur imposent en effet un certain mode de vie afin de limiter leurs risques. Souhaitant bénéficier de prix avantageux ou désirant obtenir un crédit, les clients devront se conformer aux exigences des sociétés d'assurance et de financement concernant la nutrition, les loisirs, les lieux de vacances, les heures consacrées au sommeil, l'heure à laquelle ils se connectent sur Internet... Or ces risques sont au coeur de leur métier et demeurent à la base de leurs intermédiations ; les limiter à l'excès aurait pour effet de dénaturer par là même leur rôle dans la société.
Par ailleurs, il nous faut rappeler que les banques et les assureurs sont détenteurs de données considérées comme particulièrement sensibles par le législateur (pièces d'identité, état de santé, numéro de sécurité sociale, données biométriques, etc.). La divulgation illégitime de ces données à des tiers mal intentionnés pourrait s'avérer extrêmement préjudiciable : exposition diffamante sur Internet, chantage, usurpation d'identité, ralentissement de carrière, etc., autant de dommages que les victimes auraient à subir.
Les garanties apportées par le RGPD
Au regard de ces nouveaux risques, le législateur européen est venu renforcer la protection des données personnelles et imposer de nouvelles obligations aux entreprises.
Les principes garantis par la loi informatique et libertés (traitement licite et loyal des données, transparence, limitation des finalités, exactitude, limitation de conservation, intégrité et conservation des données) ainsi que les droits accordés aux personnes (droit à l'information, droit d'accès, droit de rectification, droit d'opposition ...) sont naturellement conservés et complétés par le Règlement général sur la protection des données (RGPD). L'innovation ne réside pas là, mais plutôt dans la prise en compte de ces nouveaux risques par le RGPD.
Parmi les mesures les plus innovantes, nous pouvons citer le principe de « privacy by design » qui impose aux responsables de traitement (et donc aux banques et aux assurances) de prendre en compte la protection des données personnelles dès la création de nouveaux produits.
Nous devons également mentionner l'obligation qui leur est faite d'effectuer des analyses d'impact sur la vie privée. Cette obligation renverse la logique traditionnelle en imposant désormais aux entreprises non plus d'analyser les risques qui pèsent sur elles, mais d'étudier et de limiter ceux qui pèsent sur leurs clients.
Soucieux de renforcer la sécurité des systèmes d'information, le règlement renforce par ailleurs les obligations qui pèsent sur les responsables de traitement, en leur imposant notamment de notifier à l'autorité de contrôle ainsi qu'aux personnes concernées les failles de sécurité dont elles ont été victimes - obligation qui existe depuis plusieurs années aux États-Unis).
Enfin, il doit être mentionné qu'au regard du principe d'accountability, les responsables de traitement doivent non seulement respecter le règlement, mais également être en mesure de le prouver. À défaut, une sanction pouvant atteindre 4 % du chiffre d'affaires mondial consolidé pourra être prononcée, en sus des sanctions pénales.
Souvent considérées comme contraignantes par les entreprises et par les pays anglo-saxons, les règles posées par le RGPD, en vigueur à partir du 25 mai 2018, restent pourtant absolument nécessaires. Tout en laissant un espace important aux entreprises pour innover, elles permettent l'intégration des nouvelles technologies au sein d'un environnement propice à leur croissance, à savoir un environnement sécurisé et respectueux des libertés individuelles. Bien plus qu'une contrainte, ces nouvelles obligations peuvent d'ailleurs constituer de véritables vecteurs de développement commercial.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
423 of 500 DOCUMENTS
Banque & Stratégie
13 juillet 2017
Nouveaux concepts du RGPD : quels enjeux juridiques ?
RUBRIQUE: VERS UNE LOGIQUE DE RESPONSABILISATION
LONGUEUR: 2150 mots
ENCART: Le Règlement général sur la protection des données (RGPD) favorise une approche par les risques de la protection des données personnelles et introduit un nouveau principe de responsabilité des responsables des traitements de données, auquel sont associés des obligations diverses et, plus concrètement, un ensemble d'outils à adapter à la banque.
Le Règlement général sur la protection des données (RGPD) du 27 avril 2016 sera applicable dans moins d'un an, le 25 mai 2018. Ce texte est considéré comme un véritable « changement de culture »[1] par rapport à la législation aujourd'hui appliquée par les entreprises, dont les banques. Le temps est désormais compté pour les responsables de traitement et les sous-traitants qui doivent d'ores et déjà modifier leurs pratiques, le RGPD ayant des conséquences importantes sur la gestion des données[2] tant sur le plan technique qu'organisationnel.
Le règlement inscrit la mise en conformité des traitements de données dans un processus nécessairement dynamique, et, c'est dans ce contexte qu'il introduit un nouveau principe de responsabilité ou « accountability ». Le RGPD favorise une approche par les risques de la protection des données personnelles où la bonne gouvernance repose sur la coopération du Délégué à la protection des données (DPD) avec le Responsable de la sécurité des systèmes d'information (RSSI)[3]. La nouvelle logique de responsabilisation du RGPD est une innovation majeure du texte à laquelle sont associées des obligations diverses et, plus concrètement un ensemble d'outils à adapter à la banque.
L'accountability ou la nouvelle logique de responsabilisation du RGPD
L'accountability est une innovation majeure du RGPD et il irradie le texte (article 24 et articles 25 à 35). Ce nouveau principe caractérise le basculement du mécanisme des formalités préalables relatives aux traitements de données vers un mécanisme d'autocontrôle[4]. Changement de paradigme[5] en effet puisque le contrôle a priori de la conformité des traitements est désormais à la charge du responsable de traitement et non plus de l'autorité de contrôle. Concrètement, l'entreprise peut s'autoévaluer en élaborant par exemple une « piste d'audit que le régulateur pourra consulter »[6].
Selon l'article 24, l'accountability impose de respecter une double contrainte :
d'une part, il s'agit de garantir la conformité légale des traitements mis en oeuvre. Le responsable de traitement doit veiller au respect de l'ensemble des obligations prescrites quant à son organisation (désignation d'un délégué, mécanisme du guichet unique), mais également vis-à-vis des personnes concernées (droits des personnes dont l'information), vis-à-vis de ses partenaires (aménagement contractuel de la sous-traitance, coresponsabilité) et enfin à l'égard de l'autorité de contrôle (concertation, collaboration, notification des violations de données) ; d'autre part, il faut pouvoir apporter la preuve de cette conformité légale. La mise en conformité des traitements impose d'adopter des mesures tenant compte de la nature, de la portée du contexte, des finalités et des risques propres au traitement et elles doivent être mises à jour quand cela est nécessaire. La documentation des processus doit être prévue à chacune des étapes des traitements des données personnelles, en phase de projet, avant leur mise en oeuvre effective et pendant tout le cycle de vie des données. La documentation, dont on gage qu'elle ne peut être que fournie, est le sésame de la « compliance ». Le rapprochement avec les directions ou services en charge de la sécurité (RSSI) prend ici tout son sens car de nombreux documents y ont certainement été réalisés (PSSI, PCA, PRA[7], documents sur la gestion des mots de passe, sur la gestion des habilitations, ...) et pourront servir de référence. La documentation est au coeur du dispositif et elle a vocation à démontrer la réalité des mesures prises. Elle doit impérativement être tenue à la disposition de l'autorité de contrôle[8].
Si le responsable de traitement est toujours directement concerné, la logique de responsabilisation vise de facto tous les acteurs car les sous-traitants sont tenus d'aider le responsable à être conforme au RGPD et ils peuvent même être sanctionnés en cas de manquements à leurs obligations. Les contrats de prestations externalisées devront être aménagés en ce sens.
Les outils de l'accountability
L'accountability est par définition plurielle. De fait, ce principe renvoie à d'autres obligations qui sont visées par le règlement au titre desquelles le recours au « privacy by design / privacy by default », la réalisation d'une analyse d'impact relative à la protection des données pour certains traitements risqués, l'adéquation des mesures de sécurité aux risques identifiés et la notification de la violation de données personnelles.
Le privacy by design impose de rechercher la protection des données dès la conception du traitement, selon l'article 25, « tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même ». Cette règle s'applique donc ex ante, dès le projet de traitement. Elle passe par la mise en oeuvre de « mesures techniques et organisationnelles appropriées » telles que la purge des fichiers à l'expiration de la durée de conservation autorisée, la limitation des données à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation)[9] ou la pseudonymisation, technique définie à l'article 4-5 et dont l'objectif est de garantir « que les DCP[10] ne soient pas attribuées à une personne physique identifiée ou identifiable ».
Le privacy by default impose au responsable de traitement de garantir le plus haut niveau possible de protection par défaut. Les mesures doivent garantir « que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée ».
L'Analyse d'impact sur la vie privée (article 35) relève d'une approche par les risques de la protection des données personnelles et doit être réalisée lorsque le traitement envisagé « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Attention, ici aussi changement de logique car il ne s'agit plus de protéger le système d'information de la banque, mais bien de garantir la protection de tiers, soit toute personne concernée par un traitement (client ou employé de la banque). L'analyse est obligatoire pour tout traitement permettant l'« évaluation systématique et approfondie des personnes entraînant des décisions ayant des effets juridiques ou affectant significativement la personne », ou portant sur des données sensibles ou pénales traitées à grande échelle ou encore la « surveillance à grande échelle de zones accessibles au public ». Cette liste n'est pas exhaustive comme en attestent les lignes directrices du G29[11] qui ont introduits de nouveaux cas dont la réalisation d'évaluation/scoring, la combinaison/interconnexion de fichiers de données, le traitement des données concernant des personnes vulnérables (salariés), etc. L'analyse d'impact est requise dès que le traitement présente au moins deux critères de la liste du G29[12]. Différentes parties sont impliquées dans sa réalisation (Délégué à la protection des données, RSSI, etc.) et le RGPD en fixe le contenu dont la description du traitement et de ses finalités, l'évaluation de la nécessité et de la proportionnalité du traitement, l'appréciation des risques sur les droits et libertés des personnes concernées et les mesures envisagées pour traiter ces risques. La portée de l'analyse est importante en ce qu'elle doit permettre de déterminer les mesures de sécurité à adopter mais elle n'est pas exclusive du contrôle de la CNIL. En effet, en cas de risque résiduel élevé révélé par l'analyse d'impact, le responsable de traitement doit consulter l'autorité de contrôle qui pourra décider in fine de la mise en oeuvre du traitement concerné.
La notification des violations des données à caractère personnel (articles 33 et 34) concerne tous les acteurs, responsable de traitement et sous-traitant. La notion de « violation de données à caractère personnel » reçoit une définition très large dans le RGPD, au point d'intégrer les actes involontaires ou réalisés de « manière accidentelle ». Seules les violations qui présentent un risque pour les droits et libertés des personnes sont concernées. Le détail de la notification est clairement formulé, le RGPD prévoyant deux étapes.
Dans un premier temps, la notification de la violation (destruction, perte, altération de données) doit être faite à la CNIL dans la limite de 72 heures après en avoir eu connaissance. Dans un deuxième temps, la notification de la violation devra être faite à la personne concernée sans délai, dès lors que l'autorité de contrôle n'aurait pas validé les mesures prises ou proposées pour y remédier (par exemple, toute mesure permettant de rendre les données à caractère personnel illisibles comme le chiffrement).
Le RGPD impose de documenter toutes les violations de données chez le responsable de traitement, et du sous-traitant également obligé de notifier au responsable les violations de données à caractère personnel le concernant dès qu'il en a connaissance. Le contenu de la notification porte sur la nature de la violation, le nombre de personnes et de traitements concernés, les coordonnées du délégué ou de tout contact pertinent, les conséquences de la violation de donnés personnelles pour les personnes.
Au vu de la recrudescence des attaques de sécurité auxquelles sont confrontés les établissements bancaires (fuite d'informations, ransomware), la mise en place de procédures adaptées aux délais impartis à la notification est une priorité.
Le Délégué à la protection des données (DPO) vient remplacer l'actuel correspondant informatique et libertés, étant noté que la fonction est revisitée. Les banques entrent dans un des cas de désignation obligatoire du délégué dès lors qu'elles mettent en oeuvre des traitements exigeant « un suivi régulier et systématique à grande échelle des personnes concernées » (article 37). L'acception très large qui est prêtée à cette définition par les lignes directrices du G29[13] ne laisse pas de place au doute. Les modalités d'exercice des missions et la position du délégué doivent être pensées et préparées avant l'entrée en fonction. Le délégué doit être associé de manière appropriée et en temps utile aux questions de données personnelles. Le RGPD prévoit notamment de le consulter sur toute analyse d'impact afin qu'il donne son avis. Acteur incontournable de la conformité, il doit être doté des ressources nécessaires pour l'exécution de ses missions (financières, matérielles et humaines), pour l'accès aux données et le maintien de son expertise. Ce sujet fait partie des priorités à identifier pour le chantier « RGPD ».
Le registre des traitements (article 30 du RGPD) fait partie des documents spécifiquement visés par le RGPD au titre de l'accountability. Le responsable de traitement (pour ses traitements), mais aussi le sous-traitant (pour les traitements qu'il effectue pour le compte du responsable de traitement), devront tenir un registre des activités de traitements à jour. Le parallèle peut être fait avec le registre du Correspondant de l'article 48 du décret de 2005 quant à son contenu et sa tenue. En effet, à l'instar du registre actuel, le RGPD impose que soient précisés les noms et coordonnées de responsable de traitement, les finalités, les catégories de personnes concernées et les catégories de données à caractère personnel traitées, les destinataires du traitement, et les transferts de données vers l'étranger. Egalement, même si le RGPD prévoit que le Registre soit tenu par le responsable de traitement, rien ne s'oppose au fait que le document soit confié au délégué plus à même de l'établir et d'assurer son suivi. Une attention particulière doit être attachée à sa réalisation et, à cet égard, le modèle proposé par la CNIL sur son site peut utilement servir de référence. Véritable carte d'identité des traitements de l'entreprise, le registre a vocation à être communiqué à l'autorité de contrôle et il n'est pas exclu de considérer qu'il serve de contrôle sur pièces...
Une meilleure gouvernance et une confiance accrue
Par définition, le terme « enjeux » renvoie à ce que l'on peut gagner ou perdre. Dans la perspective du RGPD, ce que les acteurs de la protection des données à caractère personnel sont susceptibles de gagner serait une meilleure gouvernance des données, passant par une meilleure maîtrise des mesures et des procédures mises en oeuvre. La conformité au règlement est un gage de confiance vis-à-vis des personnes concernées et donc également, pour les banques, vis-à-vis de leurs clients. Le gain pourrait bien être ici certes juridique, mais aussi économique. Du côté des pertes, la flagrance du constat s'impose, car il suffit de regarder les sanctions encourues, pour un maximum fixé à 10 millions d'euros ou 2% du CA mondial en ce qui concerne les obligations afférentes à l' accountability (et 20 millions d'euros ou 4% pour les manquements aux droits des personnes).
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
424 of 500 DOCUMENTS
Banque & Stratégie
13 juillet 2017
Protection des données personnelles et data management : quelles convergences ?
RUBRIQUE: PILOTAGE
LONGUEUR: 1347 mots
ENCART: La mise en oeuvre du RGPD d'ici mai 2018, intervient à un moment où, depuis quelques années, les banques et institutions financières ont significativement investi dans ledata management. Les progrès réalisés dans ce domaine apportent-ils des éléments de réponse opérationnels pour la mise en place du dispositif de conformité RGPD, ainsi que son contrôle permanent ?
La protection des données est un sujet en rapport avec la sécurité des traitements, tandis que le data management s'est essentiellement développé sur la nécessité d'améliorer la qualité des données. Même si ces deux objectifs (sécurité/qualité) correspondent à des critères différents sur les données (par exemple, confidentialité pour la sécurité, fraîcheur pour la qualité), le contrôle et l'amélioration du degré d'atteinte de ces critères passent par une analyse de la circulation des données (data lineage) dans les processus métiers et les traitements informatiques associés.
Il est important que ces processus soient pris en compte et analysés de bout en bout, afin de pouvoir identifier de façon pertinente les points de rupture, générateurs de risques sur la sécurité et/ou la qualité des données. Pour le Règlement général européen de protection des données (RGPD, en anglais « General Data Protection Regulation », GDPR), cette cartographie intégrera la notion de localisation des bases de données et des utilisateurs de données personnelles. C'est notamment ainsi que les travaux sur le data management apporteront une base solide pour la mise en conformité RGPD.
Ainsi, par exemple, le département cybersécurité d'un grand groupe bancaire a fait former ses ingénieurs à cette compréhension de bout en bout de ses processus métiers, leur permettant d'appréhender plus facilement une approche décloisonnée de la sécurité des données. Conduite en 2013, cette formation reflétait déjà une vision très actuelle sur le data management.
De même, la formalisation d'une vision combinée du data lineage entre processus métiers et traitements informatiques, a récemment permis à une banque de détail de visualiser la circulation des données sur les personnes physiques (clients) à travers l'ensemble des traitements associés à un macroprocessus (crédit, garanties, etc.). Initialement, ce travail était destiné à renforcer la qualité des données afin d'améliorer l'efficacité opérationnelle. Mais un tel travail apporte aussi des informations pertinentes pour prioriser les actions sur la sécurité et la protection des données personnelles (laquelle priorisation étant prévue dans la démarche de mise en conformité RGPD).
Ainsi, le lineage combiné entre processus métiers et traitements informatiques associés, « graal » du data management, peut également constituer un outil précieux pour la maîtrise de la sécurité des données et, donc, le contrôle permanent de la conformité RDGP.
Portabilité des données et droit à l'oubli : quels apports du data management
La portabilité des données et le droit à l'oubli sont deux nouvelles dispositions importantes prévues par le règlement RGPD. Le droit à l'oubli consiste, pour les entreprises, à être en mesure de garantir aux personnes, qui leur en font la demande, que leurs données seront définitivement supprimées, et ce dans un délai de 30 jours. La portabilité impose aux entreprises de mettre à disposition des personnes, qui le demandent, leurs données personnelles. Et ceci de manière automatisée, dans un format « structuré, couramment utilisé et lisible par machine ».
La mise en oeuvre de ces deux dispositions implique une maîtrise de l'architecture applicative identique à celle nécessaire au data management. De plus, dans le cadre de la portabilité, il faudra être confiant quant à la qualité des données envoyées aux clients : les professionnels du data management sont devenus de plus en plus matures sur le sujet, notamment ceux confrontés à la transmission de données aux clients via Internet !
Le privacy by design et le privacy by default : des principes à partager avec le data management ?
Principe de prévention, le privacy by design est un mode de régulation intégrant la protection des données personnelles dès la conception des outils de collecte et de traitement de l'information.
Ainsi, les responsables de traitement (sous-traitants compris) doivent prendre les mesures techniques et organisationnelles appropriées afin de garantir le respect des droits des personnes et de s'assurer de la conformité des traitements envisagés.
Cette disposition privacy by design est complétée par le privacy by default qui, selon le RGPD, fixe les périmètres propres au déroulement d'un traitement de façon à garantir par défaut le plus haut niveau de protection possible des données : quantité et types de données collectées, finalités, modes de conservation ou personnes habilitées à accéder aux données.
Ainsi avons-nous vu apparaître, au cours de ces derniers mois et dans certaines institutions financières, des évolutions sur les questionnaires de conformité auxquels sont soumis les sponsors et chefs de projet (ou, s'ils n'existaient pas, la mise en place de tels formulaires sous les auspices des fonctions conformité ou juridique). Il faut, cependant, considérer que de telles évolutions ne constituent, selon nous, qu'un premier niveau, légal, de mise en conformité RGPD.
En effet, ces principes de privacy by design et de privacy by default apportent une incitation supplémentaire à articuler la mise en conformité RGPD avec le système global de data management, via notamment une gouvernance appropriée.
Le Délégué à la protection des données et la gouvernance du data management
Le règlement RGPD prévoit la mise en place d'un Délégué à la protection des données (ou DPO, acronyme de « Data Protection Officer »), successeur de feu le correspondant CNIL. Il faut envisager avec prudence les liens de subordination entre le DPO et la fonction data management, afin d'éviter les conflits d'intérêts. En revanche, il nous semble intéressant de considérer que le DPO doit non seulement être bien informé, mais aussi associé à la gouvernance du data management.
À titre d'illustration, considérons les propriétaires de données (les data owners) : le DPO devra en avoir une cartographie claire, car ces data owners pourront être appelés à jouer un rôle dans la conformité RGDP, en particulier sur la maîtrise et le contrôle de données entrantes, ainsi que pour la mise en oeuvre du droit à l'oubli (exemple : position clé du data owner dans le lineage des données personnelles provenant d'une source externe, fournisseur ou sous-traitant).
En participant aux instances de gouvernance du data management, le DPO apportera sa voix, spécifique sur une catégorie de données (les données personnelles). Cette voix pourra être entendue, notamment pour prendre en compte les priorisations requises par RGPD et contribuer aux arbitrages à faire sur les investissements data management (à commencer par les cartographies et le lineage !). On retrouve ici l'idée du data management comme outil au service du contrôle permanent de la conformité RGPD (entre autres).
Data Protection Officers et Chief Data Officers, même combat ?
Avec RGPD, ce n'est pas la première fois que le data management est confronté à un impératif réglementaire. Dans la banque, BCBS239[1] a créé un précédent et un historique, diversifié selon les établissements. Ainsi, dans certaines banques, BCBS239 a été le fait générateur pour la création (ou une évolution profonde) de la fonction data management. Dans d'autres, la fonction data management est montée en puissance de façon plus autonome, impulsée par d'autres enjeux métiers, tout en établissant des ponts avec l'impératif réglementaire sur les risques (BCBS239).
Nouvelle sollicitation réglementaire pour nos établissements, RGPD arrive donc dans des institutions qui, pour nombre d'entre elles, ont mûri les complémentarités entre l'impératif réglementaire et une approche globale du data management, empreinte des enjeux métiers. C'est sans doute sous l'angle des complémentarités qu'il faudra envisager les rôles de DPO et CDO, en évitant des liens de subordination contraires à l'esprit du règlement RGPD où « juge » et « parties » doivent être distincts dans le traitement des données.
Malgré cette distinction, Data Protection Officers et Chief Data Officers auront à poursuivre ensemble le long travail d'« évangélisation », dans l'entreprise, sur les enjeux liés à la donnée, qui est loin d'être achevé !
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
425 of 500 DOCUMENTS
Banque & Stratégie
13 juillet 2017
Quand l'algorithme pêche la donnée personnelle
RUBRIQUE: TRAÇABILITÉ
LONGUEUR: 1457 mots
ENCART: RGPD*, loi pour une république numérique**, règlement e-Privacy*** : autant de textes qui confirment que la protection des données personnelles est devenue un impératif en Europe. Pour autant, si ces différentes réglementations encadrent strictement l'exploitation des données personnelles, il semblerait que l'algorithme constitue une brèche, à l'heure de l'intelligence artificielle et de l'évolution rapide de l'utilisation de l'espace numérique. Ce n'est donc pas un hasard si la CNIL a décidé d'organiser une consultation publique sur ce sujet. L'objectif étant de trouver des réponses à la question de l'autonomie de l'individu dans « un monde algorithmé».
Dès lors que l'on se connecte sur la toile, la rencontre avec l'algorithme est désormais inévitable pour atteindre l'information que l'on recherche. S'agissant de l'industrie financière, les algorithmes sont bien connus sur les marchés financiers. En effet, instruments du trading à haute fréquence, ils font l'objet d'un encadrement dans la nouvelle directive européenne MIF 2. Cependant, l'avènement des robo-advisors et l'essor des banques en ligne ou mobiles laissent craindre une utilisation accrue de la traçabilité des personnes dans le secteur financier également.
De la trace à la donnée personnelle
Quel que soit le secteur, les traces laissées par les individus, que ce soit directement lorsqu'ils se connectent ou à travers les métadonnées, peuvent conduire à les identifier. Désormais, les algorithmes d'apprentissage permettent d'analyser et de classer la masse de données numériques générées par les utilisateurs, mais aussi de les suivre et d'anticiper leurs centres d'intérêt. Cette data est largement exploitée sur le net pour proposer diverses offres publicitaires aux utilisateurs. Cependant, en tant que telle, une seule trace ne permet pas d'identifier une personne. C'est l'agrégation de l'ensemble des traces, autrement dit le profilage, qui amène l'algorithme dit « d'apprentissage » à identifier la personne. La question de savoir si une trace peut être considérée comme une « donnée personnelle » se pose alors. Selon Jean-Marc Deltorn, chercheur au Centre d'études internationales de la propriété intellectuelle de l'Université de Strasbourg, « même si la capacité d'identification des procédés d'inférence statistique peut se suffire de traces de plus en plus infimes, imposer un contrôle sur ces données élémentaires au fondement du droit positif ou du Règlement serait aussi superflu que chimérique et nuirait, par inapplicabilité pratique de la règle, à l'effectivité de son principede protection »[1].
Que signifie « donnée personnelle » ?
En vertu de l'article 4 du RGPD, il faut entendre par « données à caractère personnel » « toute information se rapportant à une personne physique identifiée ou identifiable ». Est réputée comme une « personne physique identifiable » « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Pour Jean-Marc Deltorn, « c'est donc dans l'objectif ultime du traitement de l'information issue des données brutes, et non dans la trace elle-même, qu'il faut trouver une assise à l'interprétation : dès lors qu'une information a pour fonction de permettre l'identification d'un individu, elle le rend identifiable, et entre donc, en tant que telle, dans la définition de l'article 4 § 1 ; elle devient - à ce stade seulement - une "donnée à caractère personnel". La collecte de données brutes ne devrait pas entrer dans le régime de protection par le Règlement, dans la mesure où elles servent seulement à mesurer une activité d'ensemble. En revanche, la construction d'un jeu de traces - aussi élémentaires soient-elles -, l'élaboration d'un ou de plusieurs profils - à granularité variable - en vue de suivre, retrouver ou cibler un individu produira une information à caractère personnel protégée au titre de la loi du 6 janvier 1978 et duRèglement »[2].
En effet, face à l'exploitation économique accrue de la data, la captation de l'historique des navigations des utilisateurs intéresse les régulateurs. Ainsi, le projet de règlement e-Privacy, en cours de discussion au Parlement européen, entend faire entrer les métadonnées, soit les « données sur les données » comme par exemple une adresse IP, l'identification de l'expéditeur et du destinataire, la géolocalisation, la date, la durée, dans le champ des règles de protection des données de contenu. En effet, le projet de règlement e-Privacy relève dans ses exposés de motifs que « les métadonnées découlant de communications électroniques peuvent aussi révéler des informations très sensibles et personnelles [...] qui permettent de tirer des conclusions précises sur la vie privée des personnes, comme leurs rapports sociaux, leurs habitudes et activités au quotidien, leurs intérêts, leurs goûts, etc. » S'agissant des cookies, le projet de règlement (article 8) prévoit aussi que le stockage et la lecture d'informations relatives à l'internaute dans son équipement terminal seraient interdits sauf dans certains cas (consentement de l'utilisateur, mesure de l'audience d'un site etc.).
Incompréhension des techniques de profilage
Si la trace à elle seule ne rentre pas dans le cadre de la définition juridique de « donnée à caractère personnel », la collecte et le traitement des données produites par un individu fait l'objet d'un encadrement réglementaire. L'article 22 du règlement dispose ainsi que « la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façonsimilaire. »[3]. Toutefois, de par l'illisibilité de leur fonctionnement, la puissance technologique des algorithmes peut mener au profilage de manière détournée. « La définition de la donnée personnelle résiste aux effets de l'algorithme, l'opacité de ce dernier (les transformations opérées au sein des modèles prédictifs) entrave néanmoins l'exercice pratique de la protection. Une opacité qui se manifeste par le fait que toute donnée brute est susceptible de participer à des collections identifiantes, mais aussi par le fait que le passage de la trace à l'information à caractère personnel se fait dans la machine (c'est-à-dire de manière délocalisée, hors du contrôle de l'utilisateur) » explique Jean-Marc Deltorn.
L'exigence de consentement de l'utilisateur
Du côté du droit, « le RGDP pose un principe général de transparence (article 12). Il s'agit d'un changement de paradigme dans la protection des données » affirme Clémence Scottez, Chef du service des affaires économiques de la CNIL. Par ailleurs, l'article 6 du règlement dispose que le traitement des donnés n'est licite que si « la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ». De la même manière, s'agissant du profilage, l'article 22 du règlement prévoit qu'une personne peut faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage lorsqu'elle y a explicitement donné son consentement. Mais là encore, il semblerait que l'algorithme reste capable de mettre à mal cette exigence de consentement. Selon Étienne Papin, avocat associé au cabinet Feral-Schuhl/Sainte-Marie, « le droit de données personnelles n'est pas forcément adapté pour réguler l'usage des algorithmes prédictifs. Ce droit repose sur le principe du consentement de la personne au traitement de ses données. Ce consentement est bien souvent un leurre parce qu'il est aujourd'hui impossible d'utiliser pleinement un smartphone ou internet sans accepter d'être tracé. Le consentement étant obligatoire à l'usage de la technologie, l'exploitation réelle qui sera faite des données par le responsable du traitement est totalement opaque. Ainsi, la multitude de traces que chaque individu laisse dans son usage de l'internet et de son smartphone est récupérée par de nombreux intervenants. » À noter que des lignes directrices sur l'interprétation de l'article 22 (consentement explicite de la personne) seront publiées par la CNIL à la rentrée.
En définitive, savoir comment appréhender l'algorithme demeure un « casse-tête » pour la majorité des utilisateurs d'Internet ou autres appareils connectés lambda. Une chose est certaine : cette avancée technologique n'a pas fini de susciter les débats. Les multitudes de rapports sur le sujet en témoignent. Citons celui du Conseil général de l'économie du 13 mai 2016 concernant les « modalités de régulation des algorithmes de traitement des contenus », qui formule des recommandations. Ce rapport soulignait également que « par la nature de leur architecture et de leur fonctionnement, il est très difficile de comprendre le processus de raisonnement interne des algorithmes d'apprentissage machine, et donc d'expliquer un résultat particulier ».
Attendons donc la synthèse des échanges et des contributions du débat sur les algorithmes initié par la CNIL à l'automne 2017 pour en savoir plus sur les défis et enjeux soulevés par cette nouvelle technologie...
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
426 of 500 DOCUMENTS
Banque & Stratégie
13 juillet 2017
Les changements issus du RGDP
RUBRIQUE: PROTECTION DES DONNÉES PERSONNELLES
LONGUEUR: 2017 mots
ENCART: L'adoption du RGPD européen sur la protection des données à caractère personnel en date du 27 avril 2016 ouvre une période transitoire de deux ans pour permettre aux entreprises et organisations de se mettre en conformité avec le nouveau dispositif légal qui sera directement applicable sur l'ensemble du territoire de l'Union européenne le 25 mai 2018. À quels changements peut-on s'attendre ?
Voté à l'issue de quatre années, le RGPD européen sur la protection des données à caractère personnel en date du 27 avril 2016 remplace désormais la directive 95/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette nouvelle législation, publiée le 4 mai 2016 au Journal officiel de l'Union européenne, est à effet direct. Aucun besoin de loi nationale pour transposer le RGPD européen, les règles européennes nouvelles remplaçant automatiquement les règles nationales existantes incompatibles. Il ouvre une période transitoire de deux ans pour permettre aux entreprises et organisations de se mettre en conformité avec le nouveau dispositif légal qui sera directement applicable sur l'ensemble du territoire de l'Union européenne le 25 mai 2018. Concrètement, à quels changements peut-on s'attendre ?
I. Des droits de la personne renforcés
Définition plus détaillée des données à caractère personnel
Le devoir d'information des personnes concernées et les cas dans lesquels leur consentement est nécessaire avant la collecte de leurs données ont été renforcés. Aussi, la définition des données à caractère personnel ne change pas avec le RGPD, mais elle est plus détaillée. Il s'agit des données identifiant ou permettant d'identifier une personne, que ce soit directement ou indirectement. Le RGPD ajoute toutefois une série d'exemples de données qui permettent d'identifier une personne : son nom, mais également un numéro d'identification, une donnée de localisation, un identifiant en ligne, ainsi que des éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Dès lors, les données collectées, traitées et conservées par les établissements bancaires sont concernées.
Création de droits nouveaux
Dès la directive de 1995 était prévu un droit à l'information qui consiste en l'obligation, pour le responsable de traitement, de fournir certaines informations, un droit d'accès qui est le droit pour la personne concernée de réclamer de la part du responsable de traitement la consultation de certaines informations portant sur ses données personnelles et sur le traitement de ses données, un droit de rectification qui consiste en la possibilité pour la personne concernée de demander la rectification des données qui sont incomplètes ou inexactes et un droit d'opposition qui est le droit pour la personne concernée de s'opposer à tout moment à ce que ses données fassent l'objet d'un traitement, pour des raisons légitimes.
Avec le RGPD européen, ces droits sont renforcés - à l'exemple du droit à l'information qui s'enrichit de la notion de consentement préalable de la personne concernée.
Par ailleurs, les droits de la personne s'enrichissent de droits tels que celui de s'opposer à une mesure de profilage, le droit à la portabilité de ses données et le droit à la limitation du traitement. Le RGPD consacre également un droit d'effacement « élargi » qui permettra à la personne concernée, selon des motifs limitativement énumérés, d'obtenir l'effacement de données personnelles la concernant, la cessation de la diffusion de ces données ainsi que l'effacement par des tiers des liens vers ces données ou de toute copie ou reproduction de celle-ci. Tel est le cas lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou lorsqu'elles sont traitées d'une autre manière, lorsque la personne concernée a retiré son consentement au traitement, lorsqu'elle s'oppose au traitement, lorsque le traitement ne respecte pas d'une autre manière ou d'une autre le RGPD. Et lorsqu'il s'agit de données rendues publiques par le responsable de traitement, celui-ci a l'obligation de prendre « toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci ». Même si des exceptions sont prévues dans certaines circonstances puisque ce droit d'effacement « élargi » ne peut pas s'appliquer lorsque le traitement est nécessaire à l'exercice de la liberté d'expression, au respect d'une obligation légale ou pour des motifs d'intérêt public dans le domaine de la santé publique par exemple.
II. Le principe d'accountability
Disparition des formalités préalables
L'un des autres apports fondamentaux du RGPD porte sur l'allégement des formalités pour le responsable de traitement. Les obligations générales de notification ont été supprimées et remplacées par « des procédures et des mécanismes efficaces ciblant plutôt les types d'opérations de traitement susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités ».
Par ailleurs est instauré le principe du « guichet unique » qui permet aux groupes ayant des établissements dans plusieurs pays d'Europe, ou une activité ciblant plusieurs États membres, d'effectuer leurs formalités auprès de l'autorité de l'État membre dans lequel le groupe a son établissement principal, les autorités des différents États membres devant ensuite coopérer entre elles.
Le pendant de cette simplification des procédures est qu'une personne qui considère que les données la concernant sont traitées en violation de ses droits peut saisir l'autorité de contrôle de l'État membre dans lequel elle est établie ou celle de l'État membre dans lequel le responsable du traitement ou le sous-traitant a son principal établissement.
Logique de contrôle de la conformité...
L'allégement des formalités pour le responsable de traitement est compensé par l'instauration de mécanismes de gouvernance au sein de l'organisme - désignés par le terme d'accountability - permettant d'assurer la connaissance de la réglementation en matière de protection des données et son respect. Il augmente cependant corrélativement le coût de la protection des données, à raison des mécanismes internes qui devront être mis en oeuvre par les responsables de traitement
...obligeant à des mesures organisationnelles...
Le responsable de traitement ou sous-traitant, dès lors qu'il traite de données de résidents européens, doit désigner un représentant dans l'Union européenne. Ainsi, les sociétés établies en dehors de l'Union européenne, ayant une activité ciblant le public européen, devront désigner un représentant sur le territoire de l'Union, qui agira comme point de contact unique, tant pour les autorités que pour les personnes dont la société en question traite les données. Le responsable de traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité ; tout comme chaque sous-traitant. Ils doivent aussi, l'un et l'autre, désigner un délégué à la protection des données.
...et à l'adoption de mesures techniques de protection
Les spécifications mêmes des applications qui traitent les données et leurs procédures d'exploitation devront prendre en compte les règles de protection des données personnelles édictées par le RGPD (privacy by design et privacy by default).
Mesures de sécurité renforcées
Avec le RGPD, il est prévu que, lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit effectuer une analyse d'impact pour évaluer l'origine, la nature, la particularité et la gravité de ce risque. Les autorités de contrôle devront publier une liste de types de traitement pour lesquels une telle analyse est requise et le RGPD précise les actions à diligenter dans le cadre d'une telle analyse.
Par ailleurs, sauf lorsque la violation n'est pas de nature à engendrer des risques pour les droits et les libertés des personnes physiques, le responsable de traitement est tenu de notifier les failles de sécurité à la CNIL dans les meilleurs délais (au plus tard 72 heures après en avoir pris connaissance). Il doit également informer dans les meilleurs délais la personne concernée de la violation de ses données ; si la communication individuelle exige des efforts disproportionnés, il est alors possible de faire une communication publique. Le sous-traitant doit, quant à lui, notifier les failles de sécurité au responsable de traitement.
Garanties du sous-traitant
Le RGPD exige que le responsable de traitement fasse appel à des sous-traitants qui présentent des garanties suffisantes. Le contrat de sous-traitance doit désormais contenir un certain nombre de dispositions impératives et notamment prévoir que le sous-traitant ne traite des données personnelles que sur instruction documentée du responsable de traitement. Le sous-traitant devra en outre répercuter ses obligations sur ses propres sous-traitants.
III. Des contraintes internationales
Règles de transfert inchangées
Certains pays peuvent toujours se voir reconnaître par la Commission européenne un niveau de protection adéquat. À défaut de décision d'adéquation, le transfert hors Union européenne ne pourra se faire qu'à des conditions très strictes telles que des règles d'entreprises contraignantes approuvées par l'autorité de contrôle compétente (« Binding Corporate Rules ») ou encore des clauses contractuelles types ou bien un code de conduite ou un mécanisme de certification.
C'est la solution intermédiaire qui s'est imposée pour les transferts de données à caractère personnel avec les États-Unis en attendant l'accord trouvé entre les institutions européennes et les autorités américaines sur le Privacy Shield - qui remplace le Safe Harbour annulé par la décision CJUE du 6 octobre 2015.
À défaut de pouvoir recourir soit à une décision d'adéquation, soit aux règles contraignantes évoquées ci-dessus, le transfert hors Union européenne doit donc respecter des conditions énumérées par le RGPD. Celles-ci recouvrent celles énoncées par la loi Informatique et libertés (par exemple, la personne concernée a donné son consentement, le transfert est nécessaire pour des motifs importants d'intérêt public, la sauvegarde des intérêts vitaux de la personne concernée, etc.).
Application territoriale désormais sans limite
En effet, les entreprises établies hors Union européenne doivent désormais s'y conformer lorsque les traitements de données à caractère personnel qu'elles mettent en oeuvre sont relatifs à l'offre de biens ou de services à des personnes qui sont dans l'Union européenne ou lorsque les traitements sont liés au suivi du comportement de personnes « dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union européenne ». Dans de tels cas, ces responsables de traitement établis hors de l'Union européenne devront désigner un représentant au sein de l'Union européenne.
IV. Le renouvellement des sanctions
Fermeté des sanctions
Enfin, l'un des apports majeurs du RGPD consiste en une hausse importante des sanctions. Désormais, les autorités de contrôle ont le pouvoir de prononcer des amendes administratives qui doivent être « effectives, proportionnées et dissuasives ». Les sanctions pécuniaires peuvent ainsi atteindre 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent ou 20 000 000 d'euros pour les infractions les plus graves, le montant le plus élevé étant retenu. Et le RGPD ajoute que chaque État membre peut définir les règles dans lesquelles des amendes administratives peuvent également être imposées par des autorités ou organismes publics établis sur son territoire. Ces sanctions administratives sont sans préjudice du droit à réparation des personnes dont les droits ont été violes.
À titre d'exemple, actuellement, la sanction financière la plus élevée prononcée par la CNIL s'élève à 150 000 (EURO). Et même si les plafonds avaient été portés à 3 000 000 d'euros par la loi pour une République numérique du 7 octobre 2016, on se trouvait encore très en deçà par rapport à ce que va permettre le RGPD en mai 2018.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
427 of 500 DOCUMENTS
La Tribune
Jeudi 13 Juillet 2017
Ziwit lance un fonds d investissement spécialisé en cybersécurité
AUTEUR: Cécile Chaigneau
RUBRIQUE: TERRITOIRES; Pg. 112
LONGUEUR: 827 mots
ENCART: L entreprise montpelliéraine Ziwit, leader de la cybersécurité, annonce la création de Stratinvest, un fonds d investissement doté de 6 MEUR et dédié à la cybersécurité et à la cyberdéfense. Des secteurs hautement stratégiques pour des solutions technologiques très pointues, qui requièrent une connaissance du marché et des compétences très spécifiques.
« Nous ne devons pas rater le virage de la cybersécurité ! », lance Mohammed Boumediane, le fondateur et dirigeant de l'entreprise montpelliéraine Ziwit, spécialisée dans la sécurité sur le web. L'entrepreneur vient d'annoncer la création d'un fonds d'investissement, baptisé Stratinvest et dédié au soutien de projets technologiques innovants dans la cybersécurité et la cyberdéfense.
« Les fonds d'investissement existants ou encore les business angels n'ont pas la compétence d'analyse et de compréhension d'un projet à la pointe de la technologie, affirme le jeune dirigeant. Et par ailleurs, les porteurs de projets, souvent des geeks, sont très brillants mais ne savent pas se vendre ! Autre point : tout ce qui touche à la défense fait peur aux investisseurs car c'est un secteur qui requiert beaucoup de R&D pour un marché inaccessible, très verrouillé, qui exige un bon carnet d'adresses et du réseau... Enfin, en général, les investisseurs ont pour objectif de sortir à 3 ou 5 ans. Or dans la défense, tout est très stratégique et la sortie du capital d'une entreprise ne se fait pas aussi facilement, c'est très encadré. » Des tickets de 500 000 à 1 MEUR C'est pour toutes ces raisons que Ziwit initie ce fonds d'investissement, que l'entreprise dote dans un premier temps de 6 MEUR mobilisés sur ses fonds propres. Stratinvest soutiendra des projets à hauteur de 500 000 à 1 MEUR.
« Nous discutons de la création de ce fonds depuis janvier, et des industriels sont intéressés pour y participer, déclare Mohammed Boumediane. Le fonds n'est pas là pour concurrencer les autres fonds, il peut être complémentaire. Stratinvest est une 1e brique, qui apporte de la crédibilité. » Le jeune entrepreneur l'assure, ce fonds est né « de la dynamique Macron » : « Le président a donné un nouvel élan. Ziwit a aussi intérêt à identifier de nouvelles technologies. On ne se limitera pas à la France, pourquoi pas financer des projets à l'international. Les Américains ont aussi lancé un fonds. Avec Stratinvest, nous envoyons un signal fort ». L'annonce a fait le tour des réseaux sociaux, et Mohammed Boumediane confie avoir reçu 25 875 mails en deux jours... Une première vague de projets devrait être identifiée d'ici fin de l'année 2017. Ransomware : des attaques qui alertent Les deux virus informatiques de type « ransomware »* qui ont frappé en mai et juin derniers (WannaCry et NotPetya) et paralysé bon nombre d'administrations et entreprises partout dans le monde ont-ils joué un rôle dans la prise de conscience des organisations quelles qu'elles soient de l'urgence à se doter d'outils de cybersécurité ?
« Nous étions déjà en discussion avec de grands groupes et grâce à ces attaques, nous avons pu signer plus rapidement avec eux, répond Mohammed Boumediane. Le niveau de sensibilité est au plus haut. L'Europe a pris conscience que l'on dépend des systèmes informatiques, ce qui nous rend très fragiles. Un Etat ne peut pas assurer la cybersécurité car il n'y a pas de frontière sur le web. La réglementation européenne a donc mis en place des directives, retranscrites dans les pays en termes de loi. En France, le RGPD, règlement général de la protection des données, oblige, d'ici mai 2018, toutes les entreprises à se doter de solutions de sécurité pour protéger leurs données. Celles qui ne le feraient pas s'exposent à une sanction pénale ou à une amende de 4 % de leur chiffre d'affaires. Cette obligation concerne les entreprises privées, publiques, les associations, etc. » Une carte mondiale de cyberveille En janvier dernier, Ziwit a lancé une carte mondiale en ligne de cyberveille en temps réel.
« C'est une technologie qui scanne le web toutes les minutes et identifie les cyber-attaques ainsi que les techniques utilisées, explique le dirigeant de Ziwit. C'est un gros investissement mais ça nous permet de connaître les tendances et d'imaginer ce qui va arriver dans les six mois. Par exemple, on est sûrs qu'il y aura d'autres attaques de type ransomware, mais avec pour mission de faire du cybersabotage, c'est à dire de carrément supprimer des données. » Ziwit a développé des technologies offensives HTPPCS (Hypertext Transfer Protocol Certified Secure), « car les virus sont intelligents et les outils seulement défensifs ne sont pas suffisants », assure le dirigeant. L'entreprise, pour des raisons de sécurité en lien avec son secteur d'activité hautement stratégique, ne communique pas sur son chiffre d'affaires ni sur ses effectifs. Elle annonce cependant plus de 9 400 clients, parmi lesquels plus de 70 % des entreprises du CAC 40. Plus de la moitié de son chiffre d'affaires se réalise à l'international, notamment aux Etats-Unis où se trouvent ses plus gros clients historiques. * Logiciel malveillant qui prend en otage et chiffre des données personnelles avant de demander à leur propriétaire d'envoyer de l'argent en échange de la clef permettant de les déchiffrer.
Mohammed Boumediane, président de Ziwit à Montpellier.
DATE-CHARGEMENT: 12 Juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
428 of 500 DOCUMENTS
La Tribune - Objectif Languedoc Roussillon
Mercredi 12 Juillet 2017
Ziwit lance un fonds d investissement spécialisé en cybersécurité
AUTEUR: Cécile Chaigneau
RUBRIQUE: INNOVATION; INNOVATION TECHNOLOGIQUE
LONGUEUR: 818 mots
ENCART: L entreprise montpelliéraine Ziwit, leader de la cybersécurité, annonce la création de Stratinvest, un fonds d investissement doté de 6 MEUR et dédié à la cybersécurité et à la cyberdéfense. Des secteurs hautement stratégiques pour des solutions technologiques très pointues, qui requièrent une connaissance du marché et des compétences très spécifiques.
« Nous ne devons pas rater le virage de la cybersécurité ! », lance Mohammed Boumediane, le fondateur et dirigeant de l'entreprise montpelliéraine Ziwit, spécialisée dans la sécurité sur le web. L'entrepreneur vient d'annoncer la création d'un fonds d'investissement, baptisé Stratinvest et dédié au soutien de projets technologiques innovants dans la cybersécurité et la cyberdéfense.
« Les fonds d'investissement existants ou encore les business angels n'ont pas la compétence d'analyse et de compréhension d'un projet à la pointe de la technologie, affirme le jeune dirigeant. Et par ailleurs, les porteurs de projets, souvent des geeks, sont très brillants mais ne savent pas se vendre ! Autre point : tout ce qui touche à la défense fait peur aux investisseurs car c'est un secteur qui requiert beaucoup de R&D pour un marché inaccessible, très verrouillé, qui exige un bon carnet d'adresses et du réseau... Enfin, en général, les investisseurs ont pour objectif de sortir à 3 ou 5 ans. Or dans la défense, tout est très stratégique et la sortie du capital d'une entreprise ne se fait pas aussi facilement, c'est très encadré. » Des tickets de 500 000 à 1 MEUR C'est pour toutes ces raisons que Ziwit initie ce fonds d'investissement, que l'entreprise dote dans un premier temps de 6 MEUR mobilisés sur ses fonds propres. Stratinvest soutiendra des projets à hauteur de 500 000 à 1 MEUR.
« Nous discutons de la création de ce fonds depuis janvier, et des industriels sont intéressés pour y participer, déclare Mohammed Boumediane. Le fonds n'est pas là pour concurrencer les autres fonds, il peut être complémentaire. Stratinvest est une 1e brique, qui apporte de la crédibilité. » Le jeune entrepreneur l'assure, ce fonds est né « de la dynamique Macron » : « Le président a donné un nouvel élan. Ziwit a aussi intérêt à identifier de nouvelles technologies. On ne se limitera pas à la France, pourquoi pas financer des projets à l'international. Les Américains ont aussi lancé un fonds. Avec Stratinvest, nous envoyons un signal fort ». L'annonce a fait le tour des réseaux sociaux, et Mohammed Boumediane confie avoir reçu 25 875 mails en deux jours... Une première vague de projets devrait être identifiée d'ici fin de l'année 2017. Ransomware : des attaques qui alertent Les deux virus informatiques de type « ransomware »* qui ont frappé en mai et juin derniers (WannaCry et NotPetya) et paralysé bon nombre d'administrations et entreprises partout dans le monde ont-ils joué un rôle dans la prise de conscience des organisations quelles qu'elles soient de l'urgence à se doter d'outils de cybersécurité ?
« Nous étions déjà en discussion avec de grands groupes et grâce à ces attaques, nous avons pu signer plus rapidement avec eux, répond Mohammed Boumediane. Le niveau de sensibilité est au plus haut. L'Europe a pris conscience que l'on dépend des systèmes informatiques, ce qui nous rend très fragiles. Un Etat ne peut pas assurer la cybersécurité car il n'y a pas de frontière sur le web. La réglementation européenne a donc mis en place des directives, retranscrites dans les pays en termes de loi. En France, le RGPD, règlement général de la protection des données, oblige, d'ici mai 2018, toutes les entreprises à se doter de solutions de sécurité pour protéger leurs données. Celles qui ne le feraient pas s'exposent à une sanction pénale ou à une amende de 4 % de leur chiffre d'affaires. Cette obligation concerne les entreprises privées, publiques, les associations, etc. » Une carte mondiale de cyberveille En janvier dernier, Ziwit a lancé une carte mondiale en ligne de cyberveille en temps réel.
« C'est une technologie qui scanne le web toutes les minutes et identifie les cyber-attaques ainsi que les techniques utilisées, explique le dirigeant de Ziwit. C'est un gros investissement mais ça nous permet de connaître les tendances et d'imaginer ce qui va arriver dans les six mois. Par exemple, on est sûrs qu'il y aura d'autres attaques de type ransomware, mais avec pour mission de faire du cybersabotage, c'est à dire de carrément supprimer des données. » Ziwit a développé des technologies offensives HTPPCS (Hypertext Transfer Protocol Certified Secure), « car les virus sont intelligents et les outils seulement défensifs ne sont pas suffisants », assure le dirigeant. L'entreprise, pour des raisons de sécurité en lien avec son secteur d'activité hautement stratégique, ne communique pas sur son chiffre d'affaires ni sur ses effectifs. Elle annonce cependant plus de 9 400 clients, parmi lesquels plus de 70 % des entreprises du CAC 40. Plus de la moitié de son chiffre d'affaires se réalise à l'international, notamment aux Etats-Unis où se trouvent ses plus gros clients historiques. * Logiciel malveillant qui prend en otage et chiffre des données personnelles avant de demander à leur propriétaire d'envoyer de l'argent en échange de la clef permettant de les déchiffrer.
DATE-CHARGEMENT: 13 Juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBLA
Copyright 2017 La Tribune
Tous droits réservés
429 of 500 DOCUMENTS
La Tribune - Objectif Languedoc Roussillon
Mercredi 12 Juillet 2017
Ziwit lance un fonds d investissement spécialisé en cybersécurité
AUTEUR: Cécile Chaigneau
RUBRIQUE: INNOVATION; INNOVATION TECHNOLOGIQUE
LONGUEUR: 818 mots
ENCART: L entreprise montpelliéraine Ziwit, leader de la cybersécurité, annonce la création de Stratinvest, un fonds d investissement doté de 6 MEUR et dédié à la cybersécurité et à la cyberdéfense. Des secteurs hautement stratégiques pour des solutions technologiques très pointues, qui requièrent une connaissance du marché et des compétences très spécifiques.
« Nous ne devons pas rater le virage de la cybersécurité ! », lance Mohammed Boumediane, le fondateur et dirigeant de l'entreprise montpelliéraine Ziwit, spécialisée dans la sécurité sur le web. L'entrepreneur vient d'annoncer la création d'un fonds d'investissement, baptisé Stratinvest et dédié au soutien de projets technologiques innovants dans la cybersécurité et la cyberdéfense.
« Les fonds d'investissement existants ou encore les business angels n'ont pas la compétence d'analyse et de compréhension d'un projet à la pointe de la technologie, affirme le jeune dirigeant. Et par ailleurs, les porteurs de projets, souvent des geeks, sont très brillants mais ne savent pas se vendre ! Autre point : tout ce qui touche à la défense fait peur aux investisseurs car c'est un secteur qui requiert beaucoup de R&D pour un marché inaccessible, très verrouillé, qui exige un bon carnet d'adresses et du réseau... Enfin, en général, les investisseurs ont pour objectif de sortir à 3 ou 5 ans. Or dans la défense, tout est très stratégique et la sortie du capital d'une entreprise ne se fait pas aussi facilement, c'est très encadré. » Des tickets de 500 000 à 1 MEUR C'est pour toutes ces raisons que Ziwit initie ce fonds d'investissement, que l'entreprise dote dans un premier temps de 6 MEUR mobilisés sur ses fonds propres. Stratinvest soutiendra des projets à hauteur de 500 000 à 1 MEUR.
« Nous discutons de la création de ce fonds depuis janvier, et des industriels sont intéressés pour y participer, déclare Mohammed Boumediane. Le fonds n'est pas là pour concurrencer les autres fonds, il peut être complémentaire. Stratinvest est une 1e brique, qui apporte de la crédibilité. » Le jeune entrepreneur l'assure, ce fonds est né « de la dynamique Macron » : « Le président a donné un nouvel élan. Ziwit a aussi intérêt à identifier de nouvelles technologies. On ne se limitera pas à la France, pourquoi pas financer des projets à l'international. Les Américains ont aussi lancé un fonds. Avec Stratinvest, nous envoyons un signal fort ». L'annonce a fait le tour des réseaux sociaux, et Mohammed Boumediane confie avoir reçu 25 875 mails en deux jours... Une première vague de projets devrait être identifiée d'ici fin de l'année 2017. Ransomware : des attaques qui alertent Les deux virus informatiques de type « ransomware »* qui ont frappé en mai et juin derniers (WannaCry et NotPetya) et paralysé bon nombre d'administrations et entreprises partout dans le monde ont-ils joué un rôle dans la prise de conscience des organisations quelles qu'elles soient de l'urgence à se doter d'outils de cybersécurité ?
« Nous étions déjà en discussion avec de grands groupes et grâce à ces attaques, nous avons pu signer plus rapidement avec eux, répond Mohammed Boumediane. Le niveau de sensibilité est au plus haut. L'Europe a pris conscience que l'on dépend des systèmes informatiques, ce qui nous rend très fragiles. Un Etat ne peut pas assurer la cybersécurité car il n'y a pas de frontière sur le web. La réglementation européenne a donc mis en place des directives, retranscrites dans les pays en termes de loi. En France, le RGPD, règlement général de la protection des données, oblige, d'ici mai 2018, toutes les entreprises à se doter de solutions de sécurité pour protéger leurs données. Celles qui ne le feraient pas s'exposent à une sanction pénale ou à une amende de 4 % de leur chiffre d'affaires. Cette obligation concerne les entreprises privées, publiques, les associations, etc. » Une carte mondiale de cyberveille En janvier dernier, Ziwit a lancé une carte mondiale en ligne de cyberveille en temps réel.
« C'est une technologie qui scanne le web toutes les minutes et identifie les cyber-attaques ainsi que les techniques utilisées, explique le dirigeant de Ziwit. C'est un gros investissement mais ça nous permet de connaître les tendances et d'imaginer ce qui va arriver dans les six mois. Par exemple, on est sûrs qu'il y aura d'autres attaques de type ransomware, mais avec pour mission de faire du cybersabotage, c'est à dire de carrément supprimer des données. » Ziwit a développé des technologies offensives HTPPCS (Hypertext Transfer Protocol Certified Secure), « car les virus sont intelligents et les outils seulement défensifs ne sont pas suffisants », assure le dirigeant. L'entreprise, pour des raisons de sécurité en lien avec son secteur d'activité hautement stratégique, ne communique pas sur son chiffre d'affaires ni sur ses effectifs. Elle annonce cependant plus de 9 400 clients, parmi lesquels plus de 70 % des entreprises du CAC 40. Plus de la moitié de son chiffre d'affaires se réalise à l'international, notamment aux Etats-Unis où se trouvent ses plus gros clients historiques. * Logiciel malveillant qui prend en otage et chiffre des données personnelles avant de demander à leur propriétaire d'envoyer de l'argent en échange de la clef permettant de les déchiffrer.
DATE-CHARGEMENT: 12 Juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBLA
Copyright 2017 La Tribune
Tous droits réservés
430 of 500 DOCUMENTS
La Tribune
Mardi 11 Juillet 2017
Éleveur de champions de la French Tech, le fonds Partech triple sa puissance de feu
AUTEUR: Delphine Cuny
RUBRIQUE: FOCUS; Pg. 11
LONGUEUR: 1023 mots
ENCART: Actionnaire de Sigfox, Lendix ou encore SeaBubbles, la société de capital-risque implantée à Paris, Berlin et San Francisco, vient de boucler un fonds de 400 millions d euros, portant à près d un milliard l argent rassemblé en 18 mois.
Plusieurs centaines de millions pour propulser de futurs champions du numérique, notamment de la French Tech. La société de capital-risque Partech Ventures, codirigée par Philippe Collombel et Jean-Marc Patouillaud, vient de boucler un fonds de 400 millions d'euros, trois fois plus important que le précédent (Partech International Ventures VI avait été porté à 133 millions en 2013). Une trentaine de grands investisseurs européens et américains y ont souscrit, dont de nouveaux comme les poids lourds du CAC 40 L'Oréal, Renault et Unibail, l'assureur Maif et JC Decaux, mais aussi Cisco, Intuit et Accenture. Depuis janvier 2016, en l'espace de dix-huit mois, ce financeur parmi les plus actifs au sein de l'écosystème de startups françaises a réuni près d'un milliard d'euros dans quatre fonds (un de 400 millions pour les investissements de développement, un de 100 millions pour l'amorçage et 50 millions pour le Paris Saclay Seed Fund en pré-amorçage). Soit plus que de grands acteurs londoniens comme Accel, Index ou Atomico avec lesquels il peut désormais rivaliser.
« C'était notre ambition d'être le premier fonds en Europe », nous confie Philippe Collombel pour qui cette levée est « révélatrice à la fois de la réussite des entrepreneurs français, d'une accélération de l'écosystème français et d'une adoption rapide des technologies qui a conduit à une prise de conscience chez les investisseurs, plus que le signe d'un emballement ». Grandir face aux méga-fonds Les montants investis dans le capital-risque ont explosé depuis la crise financière : selon le cabinet spécialisé Preqin, les actifs sous gestion du secteur ont presque doublé depuis 2008 pour atteindre 524 milliards de dollars à la fin juin 2016. Les fonds de venture-capital ont à leur disposition quelque 166 milliards de « poudre sèche » (argent non investi) selon les chiffres d'avril 2017. Des chiffres qui donnent le tournis et peuvent inquiéter.
« Face à l'émergence de méga-fonds comme celui de SoftBank [près de 100 milliards de dollars, ndlr], il faut continuer à grandir. Ces très gros fonds constituent à la fois une opportunité, s'ils font grandir des entreprises, et une menace s'ils pourrissent le marché en investissant trop et trop tôt. L'argent facile peut rendre stupide », met-il en garde. Née en 1982 « dans la Silicon Valley », comme aime le rappeler la société pour souligner son implantation historique dans le pôle mondial de l'innovation, Partech était à l'époque filiale de Paribas et s'appelait Paribas Technologies. Devenue indépendante par la suite, elle a surtout pris son envol en 2007, au moment de sa reprise par les deux co-dirigeants, alors que la société gérait seulement 75 millions d'euros. Aujourd'hui, la société qui emploie 45 personnes dont 12 associés, compte 1,2 milliard d'euros d'actifs sous gestion.
« Notre croissance a été totalement organique, nous avons recruté de jeunes partners de talent. Le plus difficile est de faire cohabiter de forts caractères ! Une équipe de grande qualité, il n'y pas d'autre actif dans le capital-risque » relève le co-dirigeant de Partech. Success-stories françaises Un tiers du nouveau fonds Partech International Ventures VII sera consacré à la France, un tiers à la Californie, le reste à l'Europe hors France, ce qui permet d'équilibrer les risques.
« Nous avons une stratégie diversifiée, à travers nos trois bureaux à Paris, San Francisco et Berlin », fait valoir Philippe Collombel. Partech se cache derrière de nombreuses success-stories françaises : elle a joué un rôle clé dans la vente de Compte Nickel à BNP Paribas, de Teads (le Criteo de la pub vidéo) à Altice, de Lafourchette à TripAdvisor. Elle est actionnaire de plusieurs jeunes pousses prometteuses de la Fintech comme Lendix, dans le financement participatif des PME, ou Kantox, dans la gestion des devises pour les entreprises. Partech est aussi au capital de la toulousaine Sigfox dans l'Internet des objets ou de SeaBubbles et ses futuristes taxis volants sur l'eau.
« Le plus beau deal de la décennie pour nous a été l'introduction au Nasdaq d'Invensense en 2011. Mais le deal Dailymotion [vendu à Orange, ndlr] a constitué un tournant dans l'écosystème français car pour la première fois une grande entreprise osait un gros pari dans le digital », analyse-t-il. « Ce qui a changé en dix ans, c'est notre capacité à trouver de très bons deals européens car la qualité des dossiers a énormément progressé en France et en Europe. Nous avons une centaine de participations au portefeuille dont une dizaine de très belles boîtes. » Les secteurs prometteurs à ses yeux : les plateformes d'intelligence artificielle "verticalisées", l'Internet des objets, qui devrait selon lui rebondir, les technologies liées au respect des données personnelles (avec la directive RGPD), la Blockchain et les RegTech, etc. Cap vers l'Asie et surtout l'Afrique Le nouveau fonds de 400 millions a déjà réalisé une dizaine d'investissements avant même son closing, chez les startups françaises AB Tasty (optimisation du parcours client), Qapa (plateforme de recrutement), Akeneo (logiciel de gestion des infos produits), l'américaine Rinse (pressing à la demande), l'allemande Chronext (plateforme de revente de montres de luxe) et la coréenne Toss (appli de transfert d'argent par mobile), son premier investissement en Asie, où le marché du capital-risque a quadruplé en une décennie.
« Nous connaissons bien la Fintech et nous voulons nous éduquer au marché asiatique. Mais 90% des deals de ce fonds seront faits en Europe et aux Etats-Unis, l'Asie restera marginale », insiste-t-il. Cependant, c'est de l'autre côté de la Méditerranée que Partech a actuellement les yeux tournés. La société de capital-risque espère lever avant la fin de l'année plus de 100 millions d'euros pour son futur fonds consacré à l'Afrique qu'il monte avec l'ex-responsable de Google dans la zone, Tidjane Dème, qui l'a rejoint à l'automne dernier.
Cette levée est "révélatrice à la fois de la réussite des entrepreneurs français et d'une accélération de l'écosystème français" souligne Philippe Collombel, codirigeant du fonds Partech Ventures. (759332.png)
DATE-CHARGEMENT: 10 Juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
431 of 500 DOCUMENTS
La Tribune.fr
Lundi 10 Juillet 2017 3:30 PM CET
Éleveur de champions de la French Tech, le fonds Partech triple sa puissance de feu
AUTEUR: Delphine Cuny
RUBRIQUE: ENTREPRISES & FINANCE; BANQUES / FINANCE
LONGUEUR: 1023 mots
ENCART: Actionnaire de Sigfox, Lendix ou encore SeaBubbles, la société de capital-risque implantée à Paris, Berlin et San Francisco, vient de boucler un fonds de 400 millions d euros, portant à près d un milliard l argent rassemblé en 18 mois.
Plusieurs centaines de millions pour propulser de futurs champions du numérique, notamment de la French Tech. La société de capital-risque Partech Ventures, codirigée par Philippe Collombel et Jean-Marc Patouillaud, vient de boucler un fonds de 400 millions d'euros, trois fois plus important que le précédent (Partech International Ventures VI avait été porté à 133 millions en 2013). Une trentaine de grands investisseurs européens et américains y ont souscrit, dont de nouveaux comme les poids lourds du CAC 40 L'Oréal, Renault et Unibail, l'assureur Maif et JC Decaux, mais aussi Cisco, Intuit et Accenture. Depuis janvier 2016, en l'espace de dix-huit mois, ce financeur parmi les plus actifs au sein de l'écosystème de startups françaises a réuni près d'un milliard d'euros dans quatre fonds (un de 400 millions pour les investissements de développement, un de 100 millions pour l'amorçage et 50 millions pour le Paris Saclay Seed Fund en pré-amorçage). Soit plus que de grands acteurs londoniens comme Accel, Index ou Atomico avec lesquels il peut désormais rivaliser.
« C'était notre ambition d'être le premier fonds en Europe », nous confie Philippe Collombel pour qui cette levée est « révélatrice à la fois de la réussite des entrepreneurs français, d'une accélération de l'écosystème français et d'une adoption rapide des technologies qui a conduit à une prise de conscience chez les investisseurs, plus que le signe d'un emballement ». Grandir face aux méga-fonds Les montants investis dans le capital-risque ont explosé depuis la crise financière : selon le cabinet spécialisé Preqin, les actifs sous gestion du secteur ont presque doublé depuis 2008 pour atteindre 524 milliards de dollars à la fin juin 2016. Les fonds de venture-capital ont à leur disposition quelque 166 milliards de « poudre sèche » (argent non investi) selon les chiffres d'avril 2017. Des chiffres qui donnent le tournis et peuvent inquiéter.
« Face à l'émergence de méga-fonds comme celui de SoftBank [près de 100 milliards de dollars, ndlr], il faut continuer à grandir. Ces très gros fonds constituent à la fois une opportunité, s'ils font grandir des entreprises, et une menace s'ils pourrissent le marché en investissant trop et trop tôt. L'argent facile peut rendre stupide », met-il en garde. Née en 1982 « dans la Silicon Valley », comme aime le rappeler la société pour souligner son implantation historique dans le pôle mondial de l'innovation, Partech était à l'époque filiale de Paribas et s'appelait Paribas Technologies. Devenue indépendante par la suite, elle a surtout pris son envol en 2007, au moment de sa reprise par les deux co-dirigeants, alors que la société gérait seulement 75 millions d'euros. Aujourd'hui, la société qui emploie 45 personnes dont 12 associés, compte 1,2 milliard d'euros d'actifs sous gestion.
« Notre croissance a été totalement organique, nous avons recruté de jeunes partners de talent. Le plus difficile est de faire cohabiter de forts caractères ! Une équipe de grande qualité, il n'y pas d'autre actif dans le capital-risque » relève le co-dirigeant de Partech. Success-stories françaises Un tiers du nouveau fonds Partech International Ventures VII sera consacré à la France, un tiers à la Californie, le reste à l'Europe hors France, ce qui permet d'équilibrer les risques.
« Nous avons une stratégie diversifiée, à travers nos trois bureaux à Paris, San Francisco et Berlin », fait valoir Philippe Collombel. Partech se cache derrière de nombreuses success-stories françaises : elle a joué un rôle clé dans la vente de Compte Nickel à BNP Paribas, de Teads (le Criteo de la pub vidéo) à Altice, de Lafourchette à TripAdvisor. Elle est actionnaire de plusieurs jeunes pousses prometteuses de la Fintech comme Lendix, dans le financement participatif des PME, ou Kantox, dans la gestion des devises pour les entreprises. Partech est aussi au capital de la toulousaine Sigfox dans l'Internet des objets ou de SeaBubbles et ses futuristes taxis volants sur l'eau.
« Le plus beau deal de la décennie pour nous a été l'introduction au Nasdaq d'Invensense en 2011. Mais le deal Dailymotion [vendu à Orange, ndlr] a constitué un tournant dans l'écosystème français car pour la première fois une grande entreprise osait un gros pari dans le digital », analyse-t-il. « Ce qui a changé en dix ans, c'est notre capacité à trouver de très bons deals européens car la qualité des dossiers a énormément progressé en France et en Europe. Nous avons une centaine de participations au portefeuille dont une dizaine de très belles boîtes. » Les secteurs prometteurs à ses yeux : les plateformes d'intelligence artificielle "verticalisées", l'Internet des objets, qui devrait selon lui rebondir, les technologies liées au respect des données personnelles (avec la directive RGPD), la Blockchain et les RegTech, etc. Cap vers l'Asie et surtout l'Afrique Le nouveau fonds de 400 millions a déjà réalisé une dizaine d'investissements avant même son closing, chez les startups françaises AB Tasty (optimisation du parcours client), Qapa (plateforme de recrutement), Akeneo (logiciel de gestion des infos produits), l'américaine Rinse (pressing à la demande), l'allemande Chronext (plateforme de revente de montres de luxe) et la coréenne Toss (appli de transfert d'argent par mobile), son premier investissement en Asie, où le marché du capital-risque a quadruplé en une décennie.
« Nous connaissons bien la Fintech et nous voulons nous éduquer au marché asiatique. Mais 90% des deals de ce fonds seront faits en Europe et aux Etats-Unis, l'Asie restera marginale », insiste-t-il. Cependant, c'est de l'autre côté de la Méditerranée que Partech a actuellement les yeux tournés. La société de capital-risque espère lever avant la fin de l'année plus de 100 millions d'euros pour son futur fonds consacré à l'Afrique qu'il monte avec l'ex-responsable de Google dans la zone, Tidjane Dème, qui l'a rejoint à l'automne dernier.
Cette levée est "révélatrice à la fois de la réussite des entrepreneurs français et d'une accélération de l'écosystème français" souligne Philippe Collombel, codirigeant du fonds Partech Ventures.(759332.png)
DATE-CHARGEMENT: 10 Juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
432 of 500 DOCUMENTS
Le Monde
5 juillet 2017 mercredi
Cyberattaques : pourquoi sommes-nous si vulnérables ?
AUTEUR: Par Muriel Assuline
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 7
LONGUEUR: 914 words
ENCART: Après WannaCry, Petya démontre que les réponses préventives, techniques et judiciaires à ces attaques sont globalement insuffisantes. Il faut tout remettre à plat
La cyberattaque mondiale du 27 juin par le virus Petya a démontré que les mesures correctives à ce type d'attaque sont dépassées. L'événement lève surtout le voile sur l'insuffisance de la prévention - les mesures se font attendre -, tant de la part des entreprises que des gouvernements, pour relever un tel défi, tout comme sur l'inadaptation des réponses judiciaires.
La coopération internationale en matière de cybersécurité s'avère aussi insuffisante. Un outil de simplification avait été mis en place afin d'harmoniser les législations nationales : la convention de Budapest, entrée en vigueur en juillet 2004. Mais, faute de caractère contraignant, elle a failli à son objectif de poursuite d'une politique cybercriminelle commune.
Harmonisation européenne
Au niveau européen, le Conseil de l'Europe et le Parlement européen ont dans un premier temps adopté la directive 2013/40/UE du 12 août 2013 relative aux attaques contre les sys-tèmes d'information. Ce texte, dans une logique d'harmonisation minimale des législations nationales européennes, a exigé que les Etats membres érigent en infractions pénales cinq types d'agissements en matière de cybercriminalité, parmi lesquels " l'atteinte à l'intégrité d'un système d'information, à savoir le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système, notamment en rendant inaccessible des données informatiques ".
La France, qui sanctionnait déjà une partie de ces cyberattaques au titre des " atteintes aux systèmes de traitement automatisé de données ", a adapté sa législation nationale en juillet 2015 (articles 323-1 à 323-7 du code pénal).
Fort de cette coopération européenne, le pouvoir législatif européen a adopté le 6 juillet 2016 la directive (UE) 2016/1148 (directive NIS) relative aux mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, dans une même logique d'harmonisation.
Cette directive visait notamment à soumettre certains fournisseurs de services numériques à des exigences de sécurité et de notification d'incidents de cybersécurité. Les opérateurs de services essentiels tels que l'eau potable ou l'énergie étaient quant à eux soumis à des exigences encore plus fortes. La France avait déjà entamé le processus. Un Centre de réponse aux urgences informatiques (CERT) a été mis en place par l'intermédiaire de l'Agence nationale de sécurité des systèmes informatiques (Anssi).
Si un cadre légal national et européen existe, pourquoi restons-nous alors si vulnérables ? Premièrement, le cadre répressif français a peu évolué depuis sa création. Il n'existe d'ailleurs aucune décision judiciaire sur laquelle s'appuyer face à une cyberattaque de cette ampleur.
Deuxièmement, ces cyberattaques, bien que relevant du régime répressif des cybercrimes prévu par le code pénal, ne dérogent pas à la nécessité d'identifier les auteurs. La difficulté d'identification d'auteurs agissant en bande organisée pose un réel problème sur les terrains juridique et -répressif. Les chances de succès des enquêtes en cours sont maigres.
Au final, un paradoxe apparaît dans notre système répressif. A défaut d'identifier les auteurs des cyber-crimes, la tendance semble être de sanctionner directement les entreprises, en invoquant leur responsabilité en matière de sécurité de leurs systèmes informatiques.
Les entreprises, notamment celles qui traitent et collectent massivement des données personnelles de leurs clients, vont devoir faire face à l'entrée en application en mai 2018 du règlement 2016/679 dit RGPD, relatif à la protection des données personnelles. Ce règlement prévoit notamment que les entreprises doivent " mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque " (article 32). Certes, les conséquences auxquelles font face actuellement les entreprises à la suite des attaques récentes sont notamment la paralysie de leurs systèmes informatiques, mais il est aisé d'imaginer qu'un logiciel malveillant s'empare des données personnelles traitées par les entreprises comme c'est arrivé par le passé. Dans ce type de cyberattaque, les sanctions prévues par le règlement trouveraient donc à s'appliquer et les entreprises ayant échoué à leurs exigences de sécurité pourront se voir infliger une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires !
Des exigences trop faibles
Face à la fragilisation croissante de l'écosystème numérique devant des cyberattaques répétées, de plus en plus agressives et perturbatrices, le constat est alarmant. " Notre dépendance vis-à-vis d'Internet et des appareils et technologies connectés dépasse pour l'instant notre capacité à nous protéger ", a reconnu le président de la Commission européenne, Jean-Claude Juncker.
Les exigences de nombre d'entreprises en matière de cybersécurité sont trop faibles. Il serait judicieux d'envisager une nouvelle convention internationale, cette fois à l'échelle de l'Organisation des Nations unies. Une coopération internationale pourrait également déboucher sur une formation internationale des -acteurs économiques. Mettre en place une obligation légale de mise à jour des systèmes informatiques pour les entreprises pourrait même s'avérer pertinent... Il est urgent de dépasser l'étape de la sensibilisation pour passer à l'étape de la prévention, voire à celle de la formation des acteurs internationaux, au moins européens.
DATE-CHARGEMENT: 4 juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Monde Interactif
Tous Droits Réservés
433 of 500 DOCUMENTS
Le Monde.fr
Mardi 4 Juillet 2017
Cyberattaques: «Les mesures correctives à ce type d'attaque sont dépassées»
LONGUEUR: 922 words
TRIBUNE. La cyberattaque mondiale du 27juin par le virus Petya a démontré que les mesures correctives à ce type d'attaque sont dépassées. L'événement lève surtout le voile sur l'insuffisance de la prévention - les mesures se font attendre -, tant de la part des entreprises que des gouvernements, pour relever un tel défi, tout comme sur l'inadaptation des réponses judiciaires.
La coopération internationale en matière de cybersécurité s'avère aussi insuffisante. Un outil de simplification avait été mis en place afin d'harmoniser les législations nationales: la convention de Budapest, entrée en vigueur en juillet2004. Mais, faute de caractère contraignant, elle a failli à son objectif de poursuite d'une politique cybercriminelle commune.
Au niveau européen, le Conseil de l'Europe et le Parlement européen ont, dans un premier temps, adopté la directive 2013/40/UE du 12août 2013 relative aux attaques contre les systèmes d'information. Ce texte, dans une logique d'harmonisation minimale des législations nationales européennes, a exigé que les Etats membres érigent en infractions pénales cinq types d'agissements en matière de cybercriminalité, parmi lesquels «l'atteinte à l'intégrité d'un système d'information, à savoir le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système, notamment en rendant inaccessible des données informatiques».
Exigences de sécurité
La France, qui sanctionnait déjà une partie de ces cyberattaques au titre des «atteintes aux systèmes de traitement automatisé de données», a adapté sa législation nationale en juillet2015 (articles323-1 à 323-7 du code pénal).
Fort de cette coopération européenne, le pouvoir législatif européen a adopté le 6juillet 2016 la directive (UE) 2016/1148 (directive NIS) relative aux mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, dans une même logique d'harmonisation.
Cette directive visait notamment à soumettre certains fournisseurs de services numériques à des exigences de sécurité et de notification d'incidents de cybersécurité. Les opérateurs de services essentiels tels que l'eau potable ou l'énergie étaient quant à eux soumis à des exigences encore plus fortes. La France avait déjà entamé le processus. Un Centre de réponse aux urgences informatiques (CERT) a été mis en place par l'intermédiaire de l'Agence nationale de sécurité des systèmes informatiques (Anssi).
Un cadre répressif qui a peu évolué
Si un cadre légal national et européen existe, pourquoi restons-nous alors si vulnérables?
Premièrement, le cadre répressif français a peu évolué depuis sa création. Il n'existe d'ailleurs aucune décision judiciaire sur laquelle s'appuyer face à une cyberattaque de cette ampleur.
Deuxièmement, ces cyberattaques, bien que relevant du régime répressif des cybercrimes prévu par le code pénal, ne dérogent pas à la nécessité d'identifier les auteurs. La difficulté d'identification d'auteurs agissant en bande organisée pose un réel problème sur les terrains juridique et répressif. Les chances de succès des enquêtes en cours sont maigres.
Au final, un paradoxe apparaît dans notre système répressif. A défaut d'identifier les auteurs des cybercrimes, la tendance semble être de sanctionner directement les entreprises, en invoquant leur responsabilité en matière de sécurité de leurs systèmes informatiques.
Amende jusqu'à 20millions d'euros
Les entreprises, notamment celles qui traitent et collectent massivement des données personnelles de leurs clients, vont devoir faire face à l'entrée en application en mai2018 du règlement 2016/679 dit RGPD, relatif à la protection des données personnelles. Ce règlement prévoit notamment que les entreprises doivent «mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque» (article32).
Certes, les conséquences auxquelles font face actuellement les entreprises à la suite des attaques récentes sont notamment la paralysie de leurs systèmes informatiques, mais il est aisé d'imaginer qu'un logiciel malveillant s'empare des données personnelles traitées par les entreprises comme c'est arrivé par le passé.
Dans ce type de cyberattaque, les sanctions prévues par le règlement trouveraient donc à s'appliquer et les entreprises ayant échoué à leurs exigences de sécurité pourront se voir infliger une amende pouvant aller jusqu'à 20millions d'euros ou 4% de leur chiffre d'affaires!
Une formation internationale
Face à la fragilisation croissante de l'écosystème numérique devant des cyberattaques répétées, de plus en plus agressives et perturbatrices, le constat est alarmant. «Notre dépendance vis-à-vis d'Internet et des appareils et technologies connectés dépasse pour l'instant notre capacité à nous protéger», a reconnu le président de la Commission européenne, Jean-Claude Juncker.
Les exigences de nombre d'entreprises en matière de cybersécurité sont trop faibles. Il serait judicieux d'envisager une nouvelle convention internationale, cette fois à l'échelle de l'Organisation des Nations unies. Une coopération internationale pourrait également déboucher sur une formation internationale des acteurs économiques.
Mettre en place une obligation légale de mise à jour des systèmes informatiques pour les entreprises pourrait même s'avérer pertinent... Il est urgent de dépasser l'étape de la sensibilisation pour passer à l'étape de la prévention voir à celle de la formation des acteurs internationaux, au moins européens.
DATE-CHARGEMENT: 4 Juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
434 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Vendredi 30 Juin 2017
"Nous installerons au moins trois datacenters AWS en 2017 en France"
AUTEUR: Antoine Crochet-damais
RUBRIQUE: INTERVIEW; Cloud
LONGUEUR: 1390 mots
ENCART: Nouveaux projets et services, déploiement dans l'Hexagone... Le directeur technique d'Amazon décrypte sa stratégie en matière de cloud.
JDN. Vous avez annoncé l'ouverture de datacenters en France. Quand vont-ils entrer en production ? Werner Hans Peter Vogels a été promu CTO d'Amazon en janvier 2005 et vice président du groupe en mars de la même année. © AWS
Werner Vogels. Je n'ai pas de date de lancement précise à communiquer pour le moment. Mais ce sera cette année. Nous ouvrirons simultanément trois zones de disponibilité en France, toutes basées dans la région de Paris. Chacune fera l'objet de multiples redondances en matière de fournisseurs réseau, d'électricité... et disposera d'au moins un datacenter. Ce qui veut dire que nous allons installer d'emblée au moins trois datacenters en France.
Construisez-vous les bâtiments de vos datacenters français ou allez-vous installer vos infrastructures dans des centres de données en colocation ?
En général, nous construisons nos propres bâtiments. Nous avons des prérequis très stricts dans ce domaine. La plupart des installations existantes ne sont pas conformes aux garanties que nous souhaitons fournir à nos clients, à la fois d'un point de vue de la sécurité et de la fiabilité, mais aussi de l'environnement naturel. Nos spécificités techniques sont nombreuses, en termes d'infrastructure électrique, de refroidissement, d'écoulement d'air...
Au sein de vos datacenters français, l'infrastructure serveur et réseau sera-t-elle équivalente à celle de vos centres de données américains ?
En France, nous déployons la même infrastructure qu'a Francfort, Londres et Dublin. Ce sera d'ailleurs aussi le cas à Stockholm. Cette politique nous permet d'abord d'optimiser et lisser nos coûts partout en Europe, mais aussi de garantir à nos clients qui souhaitent se déployer sur ce continent une infrastructure informatique identique quelle que soit la zone.
Allez-vous mettre votre région française en conformité avec le nouveau Règlement général européen sur la protection des données (RGPD) ?
Nous faisons en sorte d'être systématiquement en conformité avec les réglementations locales sur les données. Nous avons le même objectif que le législateur : protéger les informations de nos clients. Ce sera le cas avec le nouveau Règlement général européen sur la protection des données. Sur ce point, nous avons travaillé avec le groupe de travail européen Article 29 qui a certifié notre démarche contractuelle de protection des données. Ce qui veut dire que si l'un de nos clients a signé notre accord de protection de données, il sera conforme au nouveau RGPD qui entrera en vigueur en mai 2018.
Quels services AWS seront disponibles via vos datacenters français à leur ouverture ?
Tous nos services de base seront disponibles à l'ouverture : nos services de calcul, de stockage, la base DynamoDB... Mais il faut savoir que nos équipes locales sont indépendantes, et les déploiements de services additionnels sont réalisés selon les régions en fonction des feedbacks des clients.
"La base Aurora est le service AWS à plus forte croissance en termes d'adoption"
En France par exemple, Amazon API Gateway est un service très demandé. Je pense notamment à Engie ou Schneider Electric qui affichent des besoins importants en matière d'intégration de données, notamment dans l'IoT. Dans un autre domaine, je pense aussi à Décathlon qui a recours à SAP en mode cloud, sur AWS, et qui pourrait vouloir basculer ce système sur nos infrastructures françaises.
Quel est le service cloud d'AWS à plus forte croissance en termes d'adoption ?
Il s'agit de notre service de base de données Aurora. Un grand nombre de clients souhaitent migrer leurs serveurs de données internes vers des bases open source en mode cloud. Mais ces bases open source n'offrent pas une performance et une fiabilité de niveau entreprise. C'est pour combler ce manque que nous avons bâti Amazon Aurora.
En front-end, Aurora intègre les principales bases open source que sont MySQL et PostgreSQL. Côté back-end, il s'adosse à une infrastructure que nous avons complément reconstruite, avec une gestion des réplications sur trois zones de disponibilité et des dispositifs d'optimisation des performances revus dans leur majorité. Ce travail permet à nos clients de bénéficier d'un service 5 à 6 fois plus performant comparé aux serveurs open source de base, à un prix (ou coût total d'acquisition ndlr) dix fois inférieur.
Qu'en est-il de votre service de migration de bases de données, alias AWS Database Migration Service (DMS) ?
Grâce à ce service, nos clients ont pu migrer, au total, 28 000 bases de données, que ce soit vers Amazon Aurora, DynamoDB, Redshift, etc. L'un des besoins les plus importants exprimés par les clients utilisant DMS concerne la reprise de bases Oracle sur nos services de bases de données. Aux côtés de son caractère multi-bases, ce service présente plusieurs avantages. Il gère notamment bien la convergence de schémas, et aide à prendre en charge les procédures stockées. Enfin, DMS est temps réel, ce qui permet de réaliser la migration sans arrêter l'application puis switcher sur le nouveau système sans interruption de service.
L'intelligence artificielle fait-elle partie de vos priorités en matière de R&D ?
Oui. Mais il faut bien comprendre que ce domaine n'est pas nouveau pour nous. Amazon a recours à l'intelligence artificielle depuis sa naissance, notamment en matière de recommandation client. L'IA traite l'historique des données utilisateur pour réaliser des prédictions. Nous réalisons ce type de traitement sur des milliards de commandes pour détecter des tendances et réaliser du scoring, notamment pour fixer les prix, les bons niveaux de stock... Nous avons des centaines de personnes au sein d'Amazon qui travaillent sur le sujet. C'est pour ça que nous avons décidé de commercialiser un service cloud de machine learning.
"Notre service de containers EC2 est utilisé pour orchestrer des architectures de microservices"
En revanche, le deep learning, qui porte sur des contenus complexes de type image, vidéo ou sur la manipulation de texte, est un domaine plus récent chez Amazon. Nous avons dû attendre d'avoir une meilleure plateforme matérielle et logicielle pour le mettre en ½uvre et le proposer à nos clients. Nos puissantes instances EC2 P2, à base de processeurs graphiques, permettent désormais d'exécuter ce type d'application. Nos services de deep learning sont basés sur l'infrastructure applicative MXnet. Elle présente l'avantage d'être multi-langages (avec une programmation déclarative et impérative, ndlr), alors que d'autres logiciels comme Tensorflow et Caffe se limitent au développement déclaratif.
Au-dessus de cette infrastructure, nous avons bâti un environnement à la portée des non-data scientists. Et sur cette couche, nous avons adossé nos services d'IA (Lex, Polly, ndlr). Des briques que les développeurs peuvent directement exploiter dans leurs applications, sans être experts en deep learning.
Qu'en est-il de la prise en charge de Docker et des containers sur AWS ?
Nous proposons un service de containers sur Amazon EC2 (baptisé EC2 Container Service, ndlr), optimisé pour Docker. Nous avons un certain nombre de clients qui l'utilisent à un niveau assez avancé, notamment pour opérer des architectures de microservices. C'est le cas par exemple de la société américaine Nexdoor qui a pu réduire ses coûts de 60% en matière de VM en optimisant l'exécution des tâches applicatives grâce aux containers. Le principal avantage de ce service réside dans son intégration à Amazon EC2. Cette infrastructure va en effet permettre d'automatiser toute votre architecture en termes d'équilibrage de charge, de gestion de la tolérance de panne...
Werner Hans Peter Vogels est titulaire d'un Ph.D. en science informatique à l'université d'Amsterdam aux Pays-Bas. De 1994 à 2004, il est chercheur au département des sciences informatiques de l'université de Cornell, spécialisé notamment dans la gestion des systèmes critiques distribués. De 1999 à 2002, il est aussi président et CTO de Reliable Network Solutions. Il rejoint Amazon en 2004 en tant que directeur de la recherche des systèmes. Il est promu CTO du groupe en janvier 2005 et vice président en mars de la même année.
A lire aussi : Comment Docker veut disrupter toute la matrice IT
L'éditeur entend transformer sa technologie de container en une plateforme de référence pour bâtir et opérer tous les systèmes, du client au serveur.
DATE-CHARGEMENT: 3 Juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
435 of 500 DOCUMENTS
La Tribune
Vendredi 30 Juin 2017
Cyberattaque Petrwrap : on vous avait prévenu !
AUTEUR: Sergio Loureiro, Seclud'IT
RUBRIQUE: OPINIONS; Pg. 140
LONGUEUR: 517 mots
ENCART: Les entreprises et plus particulièrement leur direction des systèmes d'information (DSI) ont conscience du risque de cyberattaques, mais ne prennent pas les mesures nécessaires pour restreindre ce risque. Par Sergio Loureiro, PDG Seclud'IT.
Pour la grande majorité des responsables de la sécurité des systèmes d'information (RSSI), il est difficile de porter une attention à toutes les nouvelles vulnérabilités qui sont détectées chaque jour, soit en moyenne 28 nouvelles vulnérabilités quotidiennes. Ce qui fait le plus grand bonheur des cybercriminels. Un débat relancé L'exploitation des failles connues remet sur le devant de la scène le débat sur le respect des bonnes pratiques de sécurité à quelques mois de l'entrée en application du RGPD (Règlement général sur la protection des données). Les entreprises sont de plus en plus exposées aux cyberattaques à cause du nombre croissant de nouvelles vulnérabilités : en 2016, pas moins de 10.137 nouvelles vulnérabilités ont été recensées.
Chacune de ces failles est connue et référencée. Il est donc très simple de les exploiter si les correctifs n'ont pas été appliqués. Toute l'infrastructure et les données des entreprises sont concernées : systèmes d'exploitation, bases de données, sites internet, applications, configurations du pare-feu, antivirus ... Il faut arrêter de jouer avec le feu Les entreprises et plus particulièrement la Direction des Systèmes d'Information (DSI) ont conscience du risque de cyberattaques mais ne prennent pas les mesures nécessaires pour restreindre ce risque. Les PME suivent la politique de l'autruche - ils se pensent trop petits pour être attaqués donc ils ne font que le minimum en termes de sécurité - et les grandes entreprises ont des solutions de détection mais appliquent les correctifs seulement une à deux fois par an, à la suite d'un audit de sécurité. Pourtant l'ANSSI, le Center for Internet Security ou l'OWASP s'accordent tous sur le respect des bonnes pratiques de sécurité et notamment l'analyse en continu des vulnérabilités. WannaCry et Petrwrap ne sont qu'un aperçu de ce qui se produit chaque jour. Des centaines d'entreprises sont les cibles de hackers. Dans un tiers des cas, ils réussissent à pénétrer dans l'infrastructure du système informatique. Mais la majorité de ces attaques ne sera jamais dévoilée,
soit
pour éviter un impact négatif sur la réputation de l'entreprise, soit pour éviter des poursuites pénales pour négligence, soit tout simplement parce qu'elles ne sont pas détectées par les entreprises. Comment restreindre le risque de cyberattaques ? L'unique solution est de mettre en place une politique de sécurité qui intègre une solution d'analyses récurrentes des vulnérabilités. Elle permet de surveiller le système d'information de manière continue pour détecter la présence de nouvelles vulnérabilités. L'utilisation du niveau de criticité des vulnérabilités permettra de mettre en uvre, dans les meilleures conditions,
l'organisation de l'opération de remédiation nécessaire à l'éviction des failles. Personne n'est à l'abri, pas même les particuliers, comme on a pu le voir avec l'attaque WannaCry. Alors imaginons les conséquences d'une cyberattaque sur un site e-commerce qui détient les coordonnées de clients, les informations bancaires, les données de leurs salariés... ___
Sergio Loureiro, PDG Seclud'IT
DATE-CHARGEMENT: 29 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
436 of 500 DOCUMENTS
La Tribune.fr
Jeudi 29 Juin 2017 5:46 PM CET
Cyberattaque Petrwrap : on vous avait prévenu !
AUTEUR: Sergio Loureiro, Seclud'IT
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 517 mots
ENCART: Les entreprises et plus particulièrement leur direction des systèmes d'information (DSI) ont conscience du risque de cyberattaques, mais ne prennent pas les mesures nécessaires pour restreindre ce risque. Par Sergio Loureiro, PDG Seclud'IT.
Pour la grande majorité des responsables de la sécurité des systèmes d'information (RSSI), il est difficile de porter une attention à toutes les nouvelles vulnérabilités qui sont détectées chaque jour, soit en moyenne 28 nouvelles vulnérabilités quotidiennes. Ce qui fait le plus grand bonheur des cybercriminels. Un débat relancé L'exploitation des failles connues remet sur le devant de la scène le débat sur le respect des bonnes pratiques de sécurité à quelques mois de l'entrée en application du RGPD (Règlement général sur la protection des données). Les entreprises sont de plus en plus exposées aux cyberattaques à cause du nombre croissant de nouvelles vulnérabilités : en 2016, pas moins de 10.137 nouvelles vulnérabilités ont été recensées.
Chacune de ces failles est connue et référencée. Il est donc très simple de les exploiter si les correctifs n'ont pas été appliqués. Toute l'infrastructure et les données des entreprises sont concernées : systèmes d'exploitation, bases de données, sites internet, applications, configurations du pare-feu, antivirus ... Il faut arrêter de jouer avec le feu Les entreprises et plus particulièrement la Direction des Systèmes d'Information (DSI) ont conscience du risque de cyberattaques mais ne prennent pas les mesures nécessaires pour restreindre ce risque. Les PME suivent la politique de l'autruche - ils se pensent trop petits pour être attaqués donc ils ne font que le minimum en termes de sécurité - et les grandes entreprises ont des solutions de détection mais appliquent les correctifs seulement une à deux fois par an, à la suite d'un audit de sécurité. Pourtant l'ANSSI, le Center for Internet Security ou l'OWASP s'accordent tous sur le respect des bonnes pratiques de sécurité et notamment l'analyse en continu des vulnérabilités. WannaCry et Petrwrap ne sont qu'un aperçu de ce qui se produit chaque jour. Des centaines d'entreprises sont les cibles de hackers. Dans un tiers des cas, ils réussissent à pénétrer dans l'infrastructure du système informatique. Mais la majorité de ces attaques ne sera jamais dévoilée,
soit
pour éviter un impact négatif sur la réputation de l'entreprise, soit pour éviter des poursuites pénales pour négligence, soit tout simplement parce qu'elles ne sont pas détectées par les entreprises. Comment restreindre le risque de cyberattaques ? L'unique solution est de mettre en place une politique de sécurité qui intègre une solution d'analyses récurrentes des vulnérabilités. Elle permet de surveiller le système d'information de manière continue pour détecter la présence de nouvelles vulnérabilités. L'utilisation du niveau de criticité des vulnérabilités permettra de mettre en uvre, dans les meilleures conditions,
l'organisation de l'opération de remédiation nécessaire à l'éviction des failles. Personne n'est à l'abri, pas même les particuliers, comme on a pu le voir avec l'attaque WannaCry. Alors imaginons les conséquences d'une cyberattaque sur un site e-commerce qui détient les coordonnées de clients, les informations bancaires, les données de leurs salariés... ___
Sergio Loureiro, PDG Seclud'IT
DATE-CHARGEMENT: 29 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
437 of 500 DOCUMENTS
Le Figaro Online
mercredi 28 juin 2017 05:15 PM GMT
Cyberattaques, big data, fakes news : l'envers de la révolution numérique
AUTEUR: Jean-Paul Aimetti
RUBRIQUE: VOX ECONOMIE; VOX; Vox Economie
LONGUEUR: 1457 mots
ENCART: FIGAROVOX/TRIBUNE - La condamnation de Google par l'UE et les multiples cyberattaques à l'échelle mondiale exposent les dangers du numérique. Pour Jean-Paul Aimetti, l'importance de ces menaces devrait enclencher des mesures de protection et de formation des jeunes générations.
Professeur émérite au Conservatoire National des Arts et Métiers, membre de l'Académie des sciences commerciales, Jean-Paul AIMETTI est aussi l'auteur de No Data, quelle liberté dans un monde numérique? , (éd. Descartes et Cie, 2017).
Nul ne saurait remettre en question les retombées positives de la révolution numérique lorsqu'il s'agit d'améliorer notre santé, de maîtriser notre consommation d'énergie ou d'optimiser nos déplacements. En contrepartie, la dictature grandissante du numérique et du big data a des conséquences alarmantes dans au moins deux domaines.
Première mauvaise nouvelle: les nouveaux moyens de communication numériques amplifient de façon phénoménale la puissance et le rayon d'action de prédateurs en tout genre, individus ou groupes mal intentionnés, cyber-escrocs et organisations rêvant de domination planétaire. La liste des actions délictueuses sur la toile est en croissance permanente, du harcèlement sur les réseaux sociaux à l'attaque récente de virus, en passant par le piratage d'espaces numériques en période électorale.
Après Wannacry, une nouvelle cyberattaque mondiale due à un virus baptisé NotPeyta vient d'atteindre des milliers d'entreprises et d'organisations en exigeant le paiement de rançons. Les dégâts potentiels sont d'une extrême gravité dans des secteurs vitaux: industrie, hôpitaux, organismes bancaires, transports aériens, etc..
Le phénomène s'accélère et ce pour de multiples raisons. D'une part, l'interconnexion mondiale des sites informatiques par Internet et le «Cloud» facilitent la diffusion quasi instantanée de virus, d'autre part une course sans fin est engagée entre les innovations incessantes des cybercriminels et les systèmes de sécurisation.
Des agences veillant à la sécurité numérique existent dans la plupart des pays (dont ANSSI, l'Agence nationale de sécurité des systèmes informatiques en France) mais l'analyse des sources de telles attaques nécessite des recherches parfois longues et une coordination internationale encore balbutiante. Qui plus est, la multiplication prochaine des objets connectés facilitera grandement le piratage numérique, dans la mesure où il est plus aisé de décrypter le fonctionnement des logiciels d'équipements en vente libre que celui de centres informatiques.
À l'extrême, il est possible d'imaginer un des scénarios cataclysmiques possibles autour d'Alibaba, regroupant aujourd'hui la plupart des services offerts sur le net (moteur de recherche, réseaux sociaux, e-commerce, échanges de biens, système de paiement, internet des objets connectés...) et en relation quotidienne avec plusieurs centaines de millions de Chinois, et demain, peut-être, avec la moitié des terriens. Qu'arriverait-il si, dans quelques années, ce géant poursuivait d'autres buts qu'une domination commerciale, avec la bénédiction du gouvernement chinois?
Seconde mauvaise nouvelle: nos libertés de pensée et d'action sont restreintes chaque jour davantage. L'avalanche matinale de mails, les publicités intrusives, les interruptions incessantes de messages ou la recherche d'informations pertinentes dans le maquis des «fakes news» et des faux avis laissent de moins en moins de temps à la réflexion ou à la créativité et peuvent être un frein à la productivité des entreprises. Nos moindres agissements et, demain, nos pensées (mesurées par des capteurs physiologiques ou le décodage de nos émotions sur nos visages) sont désormais numérisés et enrichissent à chaque instant de gigantesques bases de données nourrissant l'insatiable «big data». Les géants du web puisent alors dans ces immenses réservoirs et s'immiscent dans nos vies privées pour nous proposer des produits prétendus personnalisés, influencer nos comportements et, progressivement, programmer nos moindres actions. Degré ultime de la manipulation, la noria incessante de mots savants, des algorithmes quasi magiques à l'intelligence artificielle, diffuse un halo de mystère et évoque des progrès scientifiques indiscutables pour occulter des manoeuvres peu recommandables.
Des organismes de contrôle, comparables à la CNIL en France, ont été créés dans la plupart des pays pour se prémunir d'actions malfaisantes sur le web ou éviter le pillage quotidien de nos données personnelles. Leur efficacité est néanmoins limitée, compte tenu des moyens financiers colossaux des multinationales leaders de l'économie numérique et des innovations incessantes de cyberpirates agissant depuis de lointains pays. Une lueur d'espoir pourrait apparaître lors de la prochaine application, en 2018, du nouveau RGPD (Règlement Général pour la Protection des Données Personnelles) de l'Union Européenne qui alourdira considérablement les contraintes imposées aux entreprises et les sanctions prévues pour les contrevenants.
On pourrait également penser que les entreprises du numérique aient un comportement vertueux pour mieux servir des clients lassés du harcèlement publicitaire et en quête de transparence. Certes, elles affichent souvent une image irréprochable par des actions humanitaires ou le financement de recherches médicales. Hélas, une longue liste de malversations démontre que le chemin vers une économie numérique éthique sera long. Régulièrement, des grandes entreprises sont prises en défaut et parfois sanctionnées par des organismes de régulation. Parmi de nombreux exemples: booking.com, leader mondial de la réservation hôtelière, qui impose des commissions disproportionnées allant jusqu'à 30% (pour apparaître en tête de liste avec des avis positifs fictifs), le logiciel Adblockplus dont on découvre qu'il bloque toutes les publicités sur le web, à l'exception de celles émanant d'une «liste blanche» d'entreprises qui échappent au contrôle moyennant le paiement de quelques millions de dollars...
Tout récemment, Facebook a été lourdement condamné par des instances européennes pour n'avoir pas tenu ses promesses d'étanchéité des données personnelles entre le réseau social et WhatsApp.
Dans ce contexte, il est urgent de suivre différentes réformes pour contrecarrer les dérives du numérique omniprésent dans toutes les organisations et dans nos vies quotidiennes.
En matière de cybercriminalité, d'une part les entreprises et les organisations doivent impérativement progresser dans la protection de leurs sites informatiques et des objets connectés, d'autre part, les organismes nationaux et internationaux de contrôle doivent être considérablement renforcés. Il n'est malheureusement pas exclu que ces progrès prendront du temps et que nous ne sommes pas à l'abri de cyberattaques de grande gravité.
Concernant nos libertés individuelles, il est possible d'agir dès maintenant.
Avant tout, comme un drogué se désintoxiquant, tout internaute doit apprendre à diminuer ses moments de connexion et, plus généralement, à mieux gérer son temps pour préserver sa vie «réelle» de réflexions, de loisirs ou de méditation. Il est également vital d'acquérir un ensemble de pratiques pour résister à l'infobésité, utiliser prudemment les réseaux sociaux et se protéger d'intrusions abusives ou criminelles.
Deuxièmement, il est indispensable de favoriser des contre-feux collectifs. Tel un judoka utilisant la force de son adversaire pour le déstabiliser, nous devons mobiliser la puissance du numérique dans des initiatives collectives, animées par des espaces d'alertes ou de pétitions, voire dans des sites d'actions de groupe ou de boycott. Dans le même esprit, les plateformes collaboratives sont une alternative vertueuse à l'hégémonie des champions internationaux de l'économie participative. Nous citerons ici fairbooking qui fédère près de 2000 hôteliers souhaitant échapper à l'emprise de booking.com ou différentes aventures comparables de coopératives de taxis pour échapper à la dictature d'Uber. Ces contre-feux collectifs doivent respecter des règles d'éthique et de transparence irréprochables que seuls garantissent des financements par abonnement ou provenant de donateurs connus et indépendants.
En troisième lieu, en ces temps où nos dirigeants s'interrogent sur la place réservée au latin dans l'enseignement, il nous semble plus urgent de déployer un programme ambitieux pour former, dès l'école primaire, des «citoyens numériques libres».
Ce programme doit s'adresser autant aux élèves qu'aux enseignants et aux parents.
Les thèmes essentiels de bon usage individuel et collectif du numérique sont évoqués ci-dessus et pourraient être enrichis par une sensibilisation à l'éthique.
Cette période de transition pour absorber une mutation technologique et sociétale sans précédent dans l'histoire de l'humanité sera sans doute longue. Espérons que notre message se révèle plus efficace que des digues dérisoires érigées pour combattre la montée inéluctable du niveau des océans.
DATE-CHARGEMENT: 28 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
438 of 500 DOCUMENTS
Revue Banque
28 juin 2017
Neuf idées préconçues sur le règlement européen relatif à la protection des données
RUBRIQUE: DÉCRYPTAGE
LONGUEUR: 2225 mots
ENCART: Le Règlement général sur la protection des données personnelles (RGPD) adopté le 27 avril 2016 a fait couler beaucoup d'encre. À un peu moins d'un an de son entrée en application (le 25 mai 2018), faisons le tour de quelques idées préconçues sur ce texte.
1. Le RGPD ne concerne que les citoyens européens !
L'une des nouveautés du règlement européen est son effet extraterritorial. En effet, ce texte est non seulement applicable aux entreprises et organismes établis sur le territoire de l'Union européenne, mais également « à des personnes concernées qui se trouvent sur le territoire de l'Union », si les traitements mis en oeuvre portent sur une offre de biens ou de services à des personnes dans l'Union ou sur le suivi de leur comportement, toujours au sein de l'Union. C'est donc l'ensemble des résidents européens qui bénéficient de cette protection et non les seuls citoyens européens. Ainsi, un Américain vivant à Paris bénéficiera de cette protection ; inversement, le fait de traiter des données de citoyens français installés aux États-Unis n'aura pas pour effet d'entraîner l'application du règlement européen.
2. Un responsable de traitement ou un sous-traitant sera régulé par une seule Autorité de contrôle !
Le règlement européen prévoit la possibilité de désigner une autorité chef de file, mais uniquement pour ce qui concerne les traitements transfrontaliers. En outre, l'article 55 précise que « lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l'article 6, § 1, point c) (respect d'une obligation légale) ou e) (exécution d'une mission d'intérêt public), l'autorité de contrôle de l'État membre concerné est compétente. Dans ce cas, l'article 56 (concernant l'autorité chef de file) n'est pas applicable. » Les traitements mis en oeuvre pour satisfaire une obligation légale étant relativement courants, en particulier dans le secteur financier (par exemple en matière de lutte antiblanchiment et contre les sanctions financières, score bâlois, etc.), la simplification promise et devant résulter de la désignation de cette autorité chef de file semble assez réduite. Ces dispositions pourraient même aboutir, pour un responsable de traitement qui ne serait pas par ailleurs l'établissement principal (critère utilisé pour déterminer l'autorité chef de file), à relever de la compétence de plusieurs autorités de contrôle : l'une pour ses traitements transfrontaliers par l'intermédiaire de son établissement principal, et l'autre pour les traitements nécessaires au respect d'une obligation légale. Cette situation pourrait s'avérer fréquente dans le cadre des groupes de sociétés où certains traitements (y compris ceux permettant de respecter une obligation légale) sont mis en oeuvre par la maison mère et déployés dans l'ensemble de ses filiales. Elles pourraient donc à l'usage se révéler un facteur de complexification de la gouvernance des données.
Par ailleurs, les autres autorités de contrôle restent compétentes notamment pour traiter les plaintes qui leur sont adressées. En cas de dépôt d'une plainte auprès d'une autorité locale, celle-ci devra interroger l'autorité chef de file afin de savoir si celle-ci souhaite régler le litige. Or on peut imaginer que l'autorité chef de file ne souhaite pas traiter le cas, à la charge pour l'autorité initialement saisie de le faire.
3. Le consentement est nécessaire pour tous les traitements de données !
Comme la loi Informatique et Libertés, le règlement prévoit que chaque traitement de données personnelles repose sur un ou plusieurs fondements dont la liste est énumérée à l'article 6 du RGPD. Le consentement est l'un de ces fondements au même titre que le respect d'une obligation légale, l'exécution de mesures contractuelles ou l'intérêt légitime du responsable de traitement. Dès lors, le consentement n'est pas un fondement exclusif. Il est à manier avec précaution car il doit être libre, spécifique et informé, et résulter d'une action non ambiguë de la personne concernée. La condition de liberté peut en particulier susciter des interrogations, le règlement s'y attachant particulièrement (cf. considérant 43). Il ne doit pas être forcé. Ainsi, dans l'hypothèse où des données seraient nécessaires à une prestation de service, leur collecte ne serait pas libre. En effet, en cas de refus, la personne ne pourrait bénéficier du service en question. Dès lors, il semble opportun de privilégier un autre fondement.
4. La désignation d'un Data Protection Officer est obligatoire pour les entreprises employant plus de 250 collaborateurs !
Les critères à prendre en compte pour la désignation obligatoire d'un Data Protection Officer (DPO) ont été discutés tout au long des débats entourant l'adoption du RGPD, évoluant d'une notion quantitative (le nombre de salariés du responsable de traitement ou le nombre de personnes concernées par le traitement) à une notion plus qualitative, relative à la sensibilité des traitements mis en oeuvre. Conscient du fait que le nombre de personnes concernées ou de personnes mettant en oeuvre le traitement est indifférent aux risques qu'il comporte (une violation de données exposant des milliers de personnes pouvant survenir dans n'importe quel contexte), le législateur européen a finalement retenu un critère qualitatif. Ainsi, doivent désigner un DPO :
les autorités et organismes publics ; les responsables de traitement et les sous-traitants dont l'activité de base consiste en des opérations de traitement qui, du fait de leur nature, portée et/ou finalités, impliquent un suivi régulier des personnes concernées ; les responsables de traitement et les sous-traitants dont l'activité de base consiste en un traitement à grande échelle de données sensibles au sens de l'article 9 (données de santé, etc.) et de données relatives à des condamnations pénales.
5. Le RGPD supprime l'obligation de notification des traitements : donc la charge administrative sera réduite !
À cette date, l'ensemble des traitements de données à caractère personnel doivent faire l'objet d'une déclaration ou d'une autorisation de la Commission nationale de l'Informatique et des Libertés. Le règlement supprime cette notification qu'il remplace par l'obligation de tenir un registre et de réaliser des analyses d'impact pour les traitements de données les plus sensibles (dont la liste figure à l'article 35). En outre, il intègre en droit positif la notion d'Accountability : chaque responsable de traitement doit être en mesure de prouver à tout moment qu'il respecte l'ensemble des obligations du RGPD. Dès lors, la documentation à produire en interne, à maintenir et à actualiser apparaît plus importante que la simple déclaration à effectuer auprès de la CNIL. À noter, que l'obligation de tenir un registre incombe également au sous-traitant et au représentant pour les responsables de traitement établis hors Union européenne.
Une exception a cependant été introduite pour les entreprises employant moins de 250 salariés qui sont exonérées de cette obligation sous réserve qu'elles ne mettent pas en oeuvre de traitements de données comportant des risques pour les personnes ou des données sensibles.
6. Tout profilage nécessite un consentement !
L'article 22 du RGPD précise que les personnes concernées ont le droit de ne pas être soumises à une décision automatisée produisant des effets juridiques la concernant ou l'affectant de manière significative. Une disposition similaire figurait déjà l'article 15 de la Directive 95/46/CE, même si elle ne visait pas explicitement le profilage. Certaines exceptions sont prévues notamment lorsque la décision est nécessaire à la conclusion ou à l'exécution d'un contrat, si elle est prévue par une disposition législative ou, sous réserve que celle-ci prévoie des mesures appropriées pour la sauvegarde des droits des personnes et si le responsable de traitement a recueilli le consentement de la personne concernée. Dès lors, seules les mesures de profilage produisant des effets juridiques pour la personne ou l'affectant de manière similaire et qui ne pourraient bénéficier de ces exceptions doivent faire l'objet d'un recueil de consentement.
Le débat se déplace alors sur la notion d'effet juridique pour la personne concernée. On peut imaginer qu'une mesure de profilage conduisant à l'exclusion d'une personne du bénéfice d'un droit ou d'un contrat pourrait rentrer dans cette catégorie. Cette question est tout à fait prégnante en matière de marketing où l'objet de la segmentation peut se limiter à proposer à un client un produit en fonction de ses goûts et ne conduit pas nécessairement à un mécanisme d'exclusion. Ce type de profilage pourrait ainsi être soumis à un droit d'opposition, conformément aux dispositions de l'article 21.
7. Le droit à l'oubli est un droit absolu !
Déjà consacré dans l'affaire Google c/ Spain, le RGPD introduit un droit à l'oubli au bénéfice des personnes concernées. Souvent identifié comme l'une des nouveautés majeures du règlement, il convient d'examiner ses conditions d'exercice.
L'article 17 fixe une liste de cas dans lesquels le responsable de traitement a l'obligation d'effacer des données. On constate notamment que ce droit s'applique lorsque les données « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées », ou si les données « ont fait l'objet d'un traitement illicite ». Or, ces deux hypothèses constituent des manquements à d'autres dispositions du règlement. En effet, l'article 5 précise que les données sont « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Chaque responsable de traitement doit donc fixer et appliquer des durées de conservation adaptée. En outre, les traitements illicites sont proscrits car par définition, ils ne respectent pas les dispositions du règlement. Ces deux cas d'application du droit à l'effacement semblent donc plus résulter de l'application de mesures correctives relatives à des traitements qui violent les droits et libertés de la personne concernée.
Le retrait du consentement et l'exercice fructueux d'un droit d'opposition sont deux autres cas dans lesquels la personne concernée peut solliciter l'oubli. Or, en l'espèce, l'effacement est la conséquence logique de l'exercice de ces deux autres droits et non un droit autonome. Un cinquième cas est celui dans lequel les données « doivent être effacées pour respecter une obligation légale ». Or, le législateur a plutôt tendance à fixer une durée de conservation des données (ce qui peut engendrer une obligation de suppression à échéance) qu'une obligation d'effacement. En tout état de cause, une telle disposition aurait dû être prise en compte dans la définition de la politique de durées de conservation mentionnée supra. Ce cas se rapproche donc plus de l'application d'une mesure corrective. Enfin, le droit à l'effacement est ouvert lorsque les données ont été collectées « dans le cadre de l'offre de services de la société de l'information visée à l'article 8 ». Pour faire simple, il s'agit des réseaux sociaux et des mineurs, c'est sûrement ici que réside l'apport majeur du règlement.
Comme mentionné ci-dessus, le droit à l'oubli est donc loin d'être absolu, surtout à la lecture de la longue série d'exceptions qui doit également être combinée avec ses conditions d'application et qui inclut notamment l'exercice du droit à la liberté d'expression et d'information.
8. Le droit à la portabilité concerne l'ensemble des traitements !
L'article 20 précise que la personne concernée a le droit de recevoir communication des données qui la concerne dans un « format structuré, couramment utilisé et lisible par machine » lorsque le traitement automatisé est fondé sur le recueil de son consentement ou sur un contrat. Dès lors, l'ensemble des traitements mis en oeuvre par un responsable ne rentre pas dans le périmètre des traitements éligibles au droit à la portabilité, notamment ceux mis en oeuvre sur la base d'un intérêt légitime ou visant à satisfaire une obligation légale.
La détermination des fondements de chaque traitement appelle donc à l'adoption d'une approche globale afin d'en évaluer les conséquences notamment en termes de droits des personnes.
9. Le montant des sanctions administratives est plafonné à 10 ou 20 millions d'euros !
L'article 83 fixe le montant des sanctions administratives imputables en cas de violations du RGPD, le montant variant en fonction de la gravité. Le texte fixe une liste de violation faisant l'objet « d'amendes administratives pouvant s'élever jusqu'à 10 000 000 euros, ou dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu ». La rédaction est la même pour la seconde série de manquements identifiés comme plus grave et exposant leur auteur à une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires. Le montant des sanctions pour une entreprise dépend donc directement de son chiffre d'affaires et n'est pas plafonné. Pour Facebook, cela pourrait par exemple représenter 990 millions d'euros !
Quant à savoir quel sera le chiffre d'affaires à prendre en compte pour déterminer le montant de la sanction notamment en cas de contentieux impliquant plusieurs sous-traitants ou responsables de traitement, il semble de bon sens d'affirmer que chacun sera individuellement responsable à la hauteur de son chiffre d'affaires pour la partie des manquements qui lui serait imputable.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
439 of 500 DOCUMENTS
Revue Banque
28 juin 2017
Les enjeux liés à l'exploitation responsable des données par les établissements financiers
RUBRIQUE: ECONOMIE DIGITALE
LONGUEUR: 1847 mots
ENCART: Au coeur de la révolution digitale, les données personnelles ainsi que les autres catégories de données, couplées aux progrès technologiques dans le domaine du Big Data et de l'intelligence artificielle, constituent à la fois une richesse et un défi de taille pour les acteurs financiers, qu'ils soient récents ou plus anciennement établis.
Les superviseurs financiers, dont l'Autorité de contrôle prudentiel et de résolution (ACPR), examinent actuellement les enjeux liés au Big Data et aux usages innovants des données des clients par les institutions financières, en particulier dans le cadre de l'analyse des réponses reçues à la suite de deux consultations publiques[1]. De manière classique s'agissant de sujets innovants, les superviseurs examinent tout d'abord les usages dont ils ont connaissance, les risques et les bénéfices potentiels qui en résultent pour les consommateurs, les institutions financières et pour l'intégrité du secteur. Ils interrogent ensuite le marché, dans le cadre d'un Discussion Paper, avant de proposer d'éventuelles actions de régulation, si nécessaire, ou de poursuivre une surveillance des phénomènes sans pour autant suggérer de type d'actions. S'agissant d'un sujet qui touche aux données personnelles, ces travaux donnent lieu à des échanges avec les autorités en charge de leur protection[2].
Les données constituent un actif de valeur pour les établissements financiers
Du fait de leur activité, les établissements financiers recueillent des données nombreuses et détaillées sur leurs clients, que ce soit au cours des différents actes commerciaux, pour satisfaire aux exigences réglementaires - par exemple dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme - ou encore, de manière peut-être un peu plus passive, lors des paiements effectués par les clients. Les acteurs financiers sont aussi en capacité de recueillir des données liées aux consultations et autres interactions nourries avec les clients sur les plates-formes Internet ou les applications mobiles. Dans un mouvement qui ne fait certainement que commencer, ils peuvent souhaiter enrichir leurs propres données par le recours à des données externes, issues par exemple des réseaux sociaux, de sources en Open Data ou encore via des objets connectés.
L'utilisation optimale de ces données devrait en principe permettre de concevoir une offre de services financiers plus personnalisée et de mieux tarifer les produits en fonction des risques du consommateur. Ainsi, les données issues des objets connectés (maison connectée, auto connectée, ou même santé connectée...), pourraient ainsi améliorer la prévention, voire affiner la tarification des contrats d'assurance. Les risques liés aux données peuvent aussi donner lieu à la conception de nouveaux produits financiers, tels que des contrats d'assurance permettant d'en assurer le vol ou l'utilisation malveillante.
Enfin, les données et leur exploitation adéquate devraient permettre aux établissements d'être plus efficaces et plus réactifs dans la gestion des risques, par exemple en utilisant des solutions d'identification avancées de fraudes aux paiements ou aux assurances basées sur le Big Data et l'intelligence artificielle.
Trois défis pour les acteurs financiers
Le premier de ces défis est lié à la capacité technique des établissements à valoriser les données ainsi recueillies ou collectées. Pour valoriser ces données, il faut être capable de rattacher à un client des données granulaires et parfois éparses. Et cela n'est pas toujours le cas aujourd'hui, du fait des organisations et systèmes d'information en place qui n'ont pas été conçus dans cette optique. Le caractère non optimal des systèmes d'information peut expliquer que certaines données - comme par exemple celles liées aux comptes et aux moyens de paiement - soient encore assez peu valorisées par les établissements de crédit.
En outre, l'utilisation efficace de données nécessite qu'elles soient qualifiées et correctement documentées afin d'éviter l'utilisation de sources non pertinentes, non fiables, non pérennes, voire interdites. Cela requiert la mise en place d'entrepôts de données intégrant la maintenance de métadonnées et une structuration adaptée aux outils d'analyse qui seront déployés. Ces investissements portent à la fois sur les systèmes d'information au sens technologique, hardware, mais requièrent aussi une implication étroite des métiers pour assurer une documentation permanente des données présentes. Les interactions entre les métiers et directions informatiques seront aussi impératives pour la mise en place de tous les systèmes visant à garantir la qualité des données ; ces derniers systèmes doivent être conçus de telle sorte que les responsabilités entre ces différents acteurs pour ce qui concerne cette qualité soient clairement établies.
Enfin, la course à la donnée additionnelle peut s'avérer parfois assez décevante. En effet, quand bien même une donnée nouvelle de bonne qualité et légalement utilisable est trouvée, il est tout à fait possible qu'elle soit en réalité tellement corrélée à l'ensemble de l'information déjà présente que son apport effectif soit minime, voire inexistant.
Le second défi est celui de défi de la conformité. Le cadre réglementaire lié aux données personnelles évolue et se renforce avec l'entrée en application du règlement européen relatif à la protection des données personnelles (RGPD)[3]. Ce texte n'interdit pas aux entreprises de valoriser les données, mais il impose des règles renforcées aux acteurs, qui sont véritablement mis en situation de responsabilité face aux usages des données.
Enfin, le troisième défi à relever porte sur la sécurité des données, risque singulièrement accru du fait de l'interconnection croissante des systèmes d'information, compte tenu notamment des évolutions qui résulteront des récents textes européens. Ainsi, la seconde directive sur les services de paiement prévoit que les nouveaux prestataires de services de paiement non teneurs de comptes, les agrégateurs d'informations sur les comptes et les initiateurs de paiement pourront accéder aux comptes de paiement logés dans les banques, via des interfaces informatiques sécurisées mises à disposition par celles-ci. Ce mouvement d'ouverture des données détenuespar les entreprises financières laisse entrevoir des opportunités, mais aussi des risques assez significatifs, notamment en ce qui concerne la cybersécurité.
De nouveaux risques en matière de sécurité des données
En outre, la loi pour une république numérique et le règlement GDPR introduisent le droit à la portabilité des données personnelles. Ainsi, les personnes concernées ont le droit de recevoir les données à caractère personnel qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement ou de demander que ces données soient transmises directement à ce dernier lorsque cela est techniquement possible. Cette disposition, qui vise à accroître la concurrence entre responsables de traitement et, de là, permettre le développement de nouveaux services dans le cadre du marché digital unique (prévenir le « lock in » des clients), peut avoir d'importants impacts sur les acteurs financiers. Ainsi, les modalités techniques de transfert de ces données peuvent générer des risques de sécurité nouveaux.
Les risques portant sur la sécurité des données, qu'elles soient personnelles ou non, sont aussi accrus par les possibilités de recours aux solutions de cloud, en particulier non privées, pour y loger ces données. En effet, pour répondre au besoin de systèmes d'information plus souples et plus agiles, les établissements financiers étudient avec un intérêt croissant le cloud computing public. Les nouveaux acteurs financiers comme les FinTechs privilégient aussi de telles solutions pour disposer rapidement d'un système d'information qui s'adapte facilement à leur croissance. Si l'intérêt pour le cloud computing est légitime, l'ACPR appelle les établissements à prendre aussi en considération les risques spécifiques qui s'y attachent, afin de déterminer le dispositif de contrôle interne adapté. Au regard des défis liés à la sécurité des systèmes d'information, à la continuité des activités et à la confidentialité des données, l'ACPR avait publié en 2013 un document identifiant les risques associés au cloud computing et précisant ses recommandations en la matière[4]. Il est notamment affirmé que le cloud computing public doit être considéré comme une prestation de service essentielle externalisée. Cela implique, parmi d'autres exigences, l'affirmation et l'exercice d'un droit d'audit effectif du prestataire par l'établissement financier. Les établissements doivent aussi évaluer le degré de sensibilité des données ou applications qui sont candidates au transfert et, le cas échéant, s'assurer que les conditions de sécurité soient réunies. La question de la localisation géographique des lieux de stockage des données personnelles et plus largement de l'ensemble des données qui font la richesse des acteurs financiers français est extrêmement sensible et une approche protectrice est requise en la matière.
En 2016, l'ACPR a réaffirmé ces principes lors de ses contrôles et discussions avec les établissements financiers. En 2017, l'EBA a lancé une consultation publique[5] s'en inspirant assez largement, afin de commencer à bâtir un cadre européen harmonisé sur ce sujet essentiel.
Trouver un équilibre entre l'exploitation des données et la conformité aux exigences réglementaires
Au cours des années à venir, les établissements financiers devront donc trouver le juste équilibre entre la personnalisation de l'offre et les attentes effectives des clients qui ne sont ni homogènes ni constantes, entre les opportunités réelles et certainement légitimes liées à l'exploitation des données, et le respect des exigences réglementaires et - au-delà de celles-ci - des attentes sociétales, en matière de protection des données personnelles et de la vie privée qui pèsent particulièrement sur les tiers de confiance que sont les acteurs financiers.
Si les réponses à ces défis ne sont pas évidentes, elles devraient reposer sur les trois principes essentiels que sont la sécurité, la gouvernance et la transparence :
la mise en oeuvre de dispositifs adéquats pour assurer la sécurité des données malgré l'interconnection croissante des systèmes d'information ; la définition d'une organisation interne de gouvernance de la donnée permettant d'assurer leur exploitation dans un cadre contrôlé (politiques et procédures écrites, instances de décision dédiées, voire direction idoine et désignation d'un Chief Data Officer, etc.) ; la définition d'une politique de transparence vis-à-vis des clients, portant sur les usages et les modalités de stockage de leurs données (au-delà des prescriptions réglementaires, charte ou engagement public, etc.)
Enfin, il apparaît fondamental que les plates-formes de type Gaafa soient soumises de manière effective aux mêmes règles que les acteurs européens, lorsqu'elles traitent des données de citoyens européens, même si ces traitements sont techniquement effectués en dehors d'Europe, afin d'assurer tant un level playing field qu'une protection efficace des droits individuels, en particulier dans le domaine des services financiers.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
440 of 500 DOCUMENTS
Revue Banque
28 juin 2017
Le Data Protection Officer : une chance à saisir pour le secteur bancaire
RUBRIQUE: GOUVERNANCE DES DONNÉES
LONGUEUR: 1069 mots
ENCART: Dans moins d'un an, avec l'entrée en vigueur du RGPD, la protection des données personnelles sera nécessairement un élément essentiel de l'activité des établissements bancaires et financiers, au même titre que la maîtrise des risques prudentiels ou des impératifs de sécurité financière. Ainsi, la nomination d'un Data Protection Officer deviendra obligatoire dans bon nombre d'établissements financiers.
Si le numérique a changé nos sociétés, nos habitudes et nos économies de manière durable, les développements technologiques, et en particulier la multiplication des données personnelles, continuent à être sujet à débat. Le contexte actuel suscite craintes et questionnements chez nos concitoyens quant au respect de leurs données. Le règlement européen, la loi pour une République numérique et la négociation d'accords de transferts transfrontaliers de données tentent d'apporter des réponses à ces enjeux sociétaux majeurs.
L'architecture générale du règlement européen repose sur deux grands principes : la responsabilisation des organismes traitant des données personnelles et l'affirmation de la souveraineté des individus sur leurs données. En outre, ce texte va rendre la présence d'un Data Protection Officer (DPO) obligatoire dans un nombre considérable d'entreprises et d'administrations. D'ici un an, l'essentiel des établissements financiers auront désigné un DPO dans le cadre de leur programme de mise en conformité avec le RGPD.
Le RGPD change l'univers de la protection des données
Le règlement européen est certes fondé sur un cadre conceptuel peu différent de celui de la directive de 1995, qui elle-même ne faisait qu'actualiser les textes rédigés à la fin des années 1970 en Europe et en France de la loi Informatique et Libertés. Ses racines communes peuvent laisser penser que nous restons dans le même univers. Cette impression est trompeuse pour deux raisons : le RGPD installe des acteurs plus autonomes et plus responsables et octroie un pouvoir accru aux individus sur leurs données. En premier lieu, l'architecture de cette réglementation est profondément remaniée : à une logique de contrôle a priori, soit par des déclarations, soit par des autorisations, se substitue une logique de responsabilisation. Par ailleurs, le règlement allège considérablement les formalités préalables mais impose une responsabilisation des entreprises : les acteurs gagneront en souplesse et en simplification au prix d'une forte responsabilisation, avec le principe d'accountability, qui se décline en de nouvelles obligations (notification des violations de données, d'impact...), qui sont largement analysées par d'autres contributions de ce numéro de la Revue Banque. Cette responsabilisation est également marquée par les montants des sanctions susceptibles d'être appliquée en cas de manquement : celles-ci cesseront d'être symboliques pour atteindre des montants de mêmes niveaux que ceux appliqués pour les infractions aux réglementations financières et au droit de la concurrence.
En deuxième lieu, les législateurs européens ont souhaité que le RGPD porte l'affirmation de la souveraineté des individus sur leurs données à caractère personnel. Le texte réaffirme tout d'abord les droits et principes figurant dans la directive de 1995, consolidés autour du principe de transparence :
une information concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ; un exercice des droits des personnes facilité par le responsable de traitement ; l'encadrement du profilage ; la communication à la personne concernée de la violation de ses données.
Mais le texte prévoit aussi de nouveaux droits pour les personnes :
le droit à la portabilité des données, c'est-à-dire la possibilité pour les personnes de gérer eux-mêmes leurs données personnelles et de pouvoir les récupérer pour les transférer vers un autre ; le droit à la limitation du traitement ; la consécration du droit à l'oubli.
Un texte de portée générale
Enfin, il s'agit d'un texte applicable à l'ensemble des acteurs économiques, quels que soient leur secteur d'activité et leur localisation, puisque le règlement européen s'applique à tout organisme traitant de données ressortissant de l'Union européenne.
Du point de vue des établissements bancaires, si la mise en oeuvre du RGPD peut sembler proche des différents chantiers réglementaires qu'ils doivent conduire pour être conformes aux exigences des différents régulateurs financiers, il existe des différences significatives : considérer que la conformité au RGPD est un sous-projet de la conformité BCBS 239 serait une importante erreur.
Le DPO, pivot de la mise en oeuvre du règlement européen
Rappelons que le DPO, ce « CIL 2.0 », est le véritable pivot du règlement européen et qu'il devra être le garant de la conformité au règlement européen de l'organisation.
Ses missions sont nombreuses et exigeantes : veiller à la réalisation des analyses de risques et des études d'impacts, être l'interlocuteur privilégié en cas de violation de données personnelles (il devra veiller à ce que cette violation soit documentée) et le point de contact des personnes concernées, veiller à ce que les demandes de droit d'accès soient satisfaites en un mois, etc.
Le correspondant Informatique et Libertés (CIL) qui préfigure largement le DPO a été selon les retours d'expériences perçus au sein de l'AFCDP, très bénéfique pour les organismes qui les ont désignés[1]. C'est de fait une fonction qui ne s'improvise pas : le DPO devra connaître le règlement, savoir communiquer, comprendre le fonctionnement d'un SI. C'est ainsi que l'AFCDP préconise une « clause du grand-père », qui permet aux CIL qui le souhaitent d'être confirmés en tant que DPO.
L'Association a réalisé de nombreux outils permettant aux organisations et aux futurs DPO de structurer et formaliser cette fonction avec notamment une fiche de poste et une lettre de mission. Au-delà de ces aspects techniques, il faut bien saisir les enjeux sous-jacents de la mise en conformité avec le RGPD : ce texte vise notamment à rééquilibrer les relations entre les individus et les responsables de traitement et leurs sous-traitants. Il convient ainsi de considérer les nouvelles attentes sociétales : la bonne gouvernance des données personnelles sera, dans les prochaines années, un enjeu central de la relation entre les organisations et les individus. Le nouveau droit à la portabilité des données illustre cette volonté de rééquilibrage portée par le règlement européen.
Pour que la profession bancaire puisse pleinement profiter de la désignation des DPO pour renforcer ses relations avec ses clients, les DPO du secteur devront être clairement positionnés pour permettre ce nouvel équilibre sur l'utilisation des données personnelles entre les individus et les responsables de traitement porté par le RGPD.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
441 of 500 DOCUMENTS
Revue Banque
28 juin 2017
Au-delà du juridique, le RGPD impacte les processus de l'organisation
RUBRIQUE: PILOTAGE
LONGUEUR: 1192 mots
ENCART: Le RGPD entraîne un changement de culture d'entreprise dans la protection des données personnelles. Le règlement vise à responsabiliser les organisations qui traitent de données personnelles tout en restant suffisamment souple pour leur laisser prendre les mesures les plus appropriées à leur contexte et à leurs traitements.
Depuis 1978 en France, date de l'adoption de la loi Informatique et Libertés, le sujet de la protection des données personnelles relevait généralement de la compétence des services juridiques des organisations. Cela se limitait même souvent au respect des formalités CNIL et aux mentions d'information des personnes lors de la collecte de données les concernant. Les services informatiques et la gestion des risques étaient rarement ou peu impliqués dans cette démarche de conformité à la loi, à l'exception parfois, du responsable de la sécurité du système d'information, sur la partie qui le concernait.
L'arrivée du RGPD implique une remise en question de ces modes de fonctionnement et comme tout chamboulement d'habitudes, cela ne se fait pas sans quelques résistances au sein des entreprises.
Des grands chantiers sur le plan organisationnel et technique
Pour répondre à leurs obligations, les organisations doivent commencer par référencer et documenter l'ensemble des traitements de données personnelles, identifier la source de la collecte des données et les destinataires de ces données, déterminer si elles agissent en qualité de responsable de traitement, de sous-traitant ou de responsable conjoint, vérifier la base légale de ces traitements, évaluer les écarts de conformité et les risques associés aux traitements de données personnelles.
À l'issue de cette première étape, un certain nombre d'actions devront être planifiées, priorisées et déclinées en mode projet dans un laps de temps relativement court au regard de l'ampleur de la tâche selon le niveau de maturité de l'organisation.
Ainsi, parmi les principaux chantiers, nous pouvons citer les suivants :
le diagnostic de l'existant (identification et inventaire des traitements de données personnelles, analyse de leur conformité et évaluation des mesures de protection en place) ; la déclinaison en mode projet d'un plan de mise en conformité avec le RGPD : alimentation et mise à jour du ou des registres des traitements, information des personnes, gestion des droits des personnes et notamment du droit à l'oubli et à la portabilité des données, gestion de la preuve du consentement, gestion des durées de conservation, gestion de la notification et de la communication des violations de données personnelles, encadrement des sous-traitants, etc. ; la mise en place d'une politique et d'une gouvernance de la protection des données ; la prise en compte de la gestion des risques pour les droits et libertés des personnes dans les processus ; la nécessaire évolution des systèmes IT impactés par le nouveau règlement : obligation de « privacy by design » et notamment respect des principes de minimisation, de transparence et de sécurité par défaut, gestion de la portabilité des données, de la limitation du traitement, de l'effacement des données, mesures garantissant la confidentialité des données...
La portabilité par exemple, implique la mise en place d'une couche additionnelle de traitement des données afin d'extraire et de filtrer les données qui sont hors de portée de l'obligation (telles que les données déduites ou induites ou les données relatives à la sécurité des systèmes). Il est donc recommandé d'identifier en amont les données concernées. Les responsables de traitements pourront par exemple implémenter des outils permettant aux personnes concernées de sélectionner les données pertinentes qu'elles souhaitent recevoir, transmettre ou exclure et si besoin de trier les données concernant d'autres personnes.
La gestion des risques pour les droits et libertés des personnes
À partir de mai 2018, toute organisation devra justifier d'une gestion des risques liés au traitement qu'il met en oeuvre. De fait, pour évaluer les risques qui pèsent sur les données, il conviendra d'étudier :
comment, par qui et avec quelles solutions applicatives sont traitées les données personnelles ; quelle architecture technique est utilisée pour traiter ces données ; quelles mesures de sécurité techniques et organisationnelles doivent être prises pour réduire les risques, y compris selon les besoins, la pseudonymisation et le chiffrement des données personnelles.
L'analyse des risques doit être méthodique et structurée. Son niveau de granularité devra être adapté en tenant compte notamment du contexte, de la finalité du traitement, du volume et de la sensibilité des données, de la quantité et de la vulnérabilité des personnes concernées.
À l'issue de cette analyse des risques, le responsable de traitement, sur les conseils et avec l'assistance du DPO[1] le cas échéant, devra déterminer s'il persiste des risques élevés liés aux traitements de données pour les droits et libertés des personnes. Dans ce cas, il devra mener une analyse d'impact sur la protection des données.
Auparavant, il devra avoir défini les rôles et l'implication des acteurs et tout particulièrement du DPO, des responsables de chaque Business Unit, du CISO[2] ou du responsable du service IT, du responsable conjoint le cas échéant, des sous-traitants, de l'éditeur ou du fabricant de la solution utilisée éventuellement, des experts externes (juristes, techniciens, sécurité, sociologues, éthique...).
Il peut être utile d'utiliser un arbre de décision afin de déterminer les cas dans lesquels il est nécessaire de mener une analyse d'impact, mais aussi pour en définir le niveau de détail en fonction du type de traitement.
L'analyse d'impact doit être intégrée aux processus de revue opérationnelle et de gestion des risques, de développement et de conception, en tenant compte du contexte et de la culture de l'entreprise.
Enfin, en cas de contrôle d'une autorité de protection des données, le responsable de traitement devra justifier de son choix de réaliser un traitement en dépit des risques préalablement identifiés.
Pour Stéphane Petitcolas[3], qui a passé 5 ans à l'expertise technique de la CNIL, « avec le règlement européen, la coopération entre le monde de l'IT et celui des juristes devient un prérequis pour toute organisation qui souhaite s'engager dans une démarche de mise en conformité ».
Le maintien de la conformité dans le temps
Le RGPD offre l'opportunité aux spécialistes de l'informatique de jouer un rôle central tant dans la mise en place du nouveau règlement que par la suite. Cela s'explique d'abord par le fait que la gestion des risques est un processus d'amélioration continue qui nécessite de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures de protection et de réévaluer l'analyse d'impact en cas de modification du traitement ou a minima tous les trois ans. D'autre part, l'obligation d'accountability, impose aux responsables de traitements de documenter les mesures mises en place pour garantir la conformité des traitements de données et d'être en mesure d'en apporter la preuve.
La conception, l'évolution et le maintien des architectures, l'administration et le maintien des mesures de sécurité comme la gestion des risques liés aux traitements de données représentent donc des enjeux importants pour la réussite de ces projets dont l'objectif final, ne l'oublions pas, vise à garantir une meilleure protection des données des individus.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
442 of 500 DOCUMENTS
Revue Banque
28 juin 2017
Tirer profit de l'industrie de la data
RUBRIQUE: ENTRE CONTRAINTES RÉGLEMENTAIRES ET BONNES PRATIQUES
LONGUEUR: 1276 mots
ENCART: Acquérir des données plus précises sur les clients est une préoccupation majeure des entreprises parmi lesquelles figurent les professionnels de la finance, qui, s'ils disposaient de plus de données personnelles précises sur leurs clients, amélioreraient notamment leur tarification. Toutefois, il existe des barrières réglementaires à l'exploitation des données.
Les possibilités ouvertes par le Big Data pour utiliser les données personnelles étaient inconcevables il y a quelques années encore, mais elles doivent être nuancées par les barrières réglementaires érigées par la Cnil et l'Union Européenne. Le pack de conformité assurance établi en juillet 2014 et l'adoption par le Parlement européen du règlement (2016/679) général sur la protection des données (RGPD) en avril 2016 sont d'importants cadres juridiques sur la protection des données qui restreignent l'utilisation effective des données personnelles sans le consentement de l'individu. Comment alors tirer alors profit de la data dans un cadre juridique de plus en plus contraignant ? À travers cet article nous essaierons de répondre à cette question tout en exposant les principales nouveautés apportées par le RGPD.
Les nouvelles exigences du règlement général sur la protection des données (RGPD)
Le cadre réglementaire de la protection des données en France est celui de la loi Informatique et Libertés du 6 janvier 1978 qui a évolué ensuite pour tenir compte de la directive européenne n° 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Ce cadre réglementaire a connu une évolution majeure, l'adoption de le RGPD qui entrera en vigueur le 25 mai 2018, abrogeant la directive 95/46/CE de 1995. Ce texte renforce le contrôle des citoyens/consommateurs européens sur l'utilisation de leurs données personnelles tout en simplifiant et harmonisant la réglementation pour les entreprises. Ainsi, en plus des trois droits reconnus à la personne par la loi Informatique et Libertés - droits d'accès, de rectification et d'opposition -, plusieurs mesures viennent protéger davantage l'individu :
le consentement clair et explicite à la collecte des données ; l'accès facilité de l'individu à ses données : la rectification, l'effacement des données et l'oubli (article 17) ; la réalisation d'une analyse d'impact avant la mise en place d'un traitement de données (article 35) pouvant présenter des risques pour la protection des données personnelles ; la notification à la CNIL dans les 72 heures de toute faille de sécurité en rapport avec les données personnelles (articles 33 et 34) ; la responsabilisation, à travers la possibilité d'infliger de lourdes sanctions financières (article 83) allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'entreprise, le montant le plus élevé étant retenu ; à l'intérieur de l'entreprise, la création et la maintenance d'un registre des traitements de données personnelles ; la création des délégués à la protection des données (article 37), les Data Protection Officers ; la restriction du profilage automatisé servant de base à une décision (article 22) ; à l'international, le transfert de données hors UE ne peut être imposé par les lois et règlements d'un pays tiers à l'UE. De plus, le transfert des données vers des États tiers ne nécessite plus d'autorisation de transfert par la CNIL, mais exige la signature d'un contrat de transfert (article 44 et 45)...
Tirer profit des données dans un cadre réglementaire contraignant
Le traitement des données à l'ère du Big Data fait face à trois enjeux contradictoires :
d'une part, celui des assureurs et autres professionnels, qui rêvent d'accéder au maximum de données personnelles pour les valoriser en améliorant leurs offres de produits et services ; d'autre part, celui du régulateur dont le but est de veiller sur la protection des libertés individuelles en encadrant l'utilisation des données privées ; enfin, celui du citoyen/consommateur qui veut bénéficier de services plus pertinents tout en gardant le contrôle de ses données.
Mais, comme le souligne Patrick Thourot, président de Forsides, « les anciens élèves des écoles d'état-major savent tous que dans la lutte technologique entre l'obus et la cuirasse, l'obus a toujours gagné la partie ». En effet, le Big Data repose sur une technologie en évolution permanente et une évolution des usages permanente, ce qui contraste avec les textes réglementaires qui ont pour essence de définir des lois stables et prévisibles pour une utilisation commune. Dans ce contexte, les textes réglementaires peuvent être perçus comme des freins à l'innovation mais cette affirmation est à relativiser, car de bonnes pratiques peuvent permettre de respecter les contraintes réglementaires (RGPD) tout en assurant le développement pérenne de l'innovation dans le domaine numérique.
Finalité, confidentialité et sécurité des données
Le premier principe à respecter est celui de la finalité et de la pertinence des données collectées. La littérature nous a habitués au terme data lake, où l'on « déverse » des téraoctets de données sur un serveur pour y faire des analyses savantes avec une armée de data scientists et découvrir des corrélations cachées entre les données. Mais ce discours est assez éloigné des pratiques réelles : un projet de Big Data réussi doit avoir des objectifs et une finalité bien identifiée pour orienter la collecte des données et les algorithmes à utiliser.
Ensuite se pose le problème de la confidentialité des données à analyser. Des solutions techniques d'anonymisation (article 25 RGPD) des données personnelles existent. De plus, en ce qui concerne les traitements statistiques, il n'est pas toujours utile pour la construction d'un modèle de chercher à identifier précisément un client. Un identifiant anonyme est suffisant pour conserver les informations utiles aux analyses. Ainsi, dans une base tarifaire constituée pour construire un modèle, il n'est pas nécessaire d'identifier précisément l'assuré. Il suffit par exemple de le désigner par un identifiant alphanumérique ALB1235, peu importe son nom.
Pour assurer la sécurité des données et prévenir toute intrusion et failles de sécurité dans le stockage des données, les directions des systèmes d'informations (DSI) devront acquérir/inclure de nouvelles compétences, un délégué à la protection des données (Data Protection Officer) comme stipulé dans le RGPD. Le rôle du délégué à la protection des données sera de garantir la conformité du stockage et des traitements de données avec les principes de protection de la vie privée, tels que fixés par le RGPD, ainsi que de gérer les relations entre la compagnie d'assurance et les autorités de surveillance (CNIL). Les data scientists, actuaires, informaticiens, etc. devront avoir des connaissances réglementaires afin de comprendre et mettre en oeuvre les bonnes pratiques en matière de protection des données personnelles lors des différents traitements de données.
Innovation et conformité
L'innovation est le moteur qui permet à toute entreprise de survivre à l'ère de la digitalisation de l'économie et des changements d'usage des assurés. Mais la rigidité réglementaire imposée par les régulateurs limite souvent l'utilisation des données à caractère personnelles qui sont une source d'enrichissement considérable pour affiner la conception des produits et proposer de nouveaux contrats plus adaptés et de nouveaux services à des clients qui en demandent toujours plus en matière de personnalisation des prestations. Afin de répondre aux exigences des régulateurs et des consommateurs tout en innovant, les entreprises devront mettre en place des process en accord avec les lois en vigueur et disposer en leur sein des compétences nécessaires pour appliquer ces démarches (Data Protection Officer, professionnels de l'assurance formés sur les questions de conformité en matière de traitement de données personnelles).
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
443 of 500 DOCUMENTS
Revue Banque
28 juin 2017
RGPD : l'opportunité d'une gouvernance transverse des données
LONGUEUR: 2079 mots
ENCART: Les nouvelles exigences induites par le règlement européen sur la protection des données posent de nombreuses interrogations au secteur bancaire. Les banques feront-elles le choix de traiter ce sujet de manière isolée ? Saisiront-elles l'opportunité de déployer une gouvernance des données transverses à l'ensemble des réglementations auxquelles elles doivent faire face ? Transformeront-elles cette gouvernance en un levier de conquête commerciale au-delà des seuls enjeux réglementaires ?
La révolution digitale en cours est une tendance de fond qui rend indispensable la mise en place d'un cadre protecteur de nos données privées. À cet effet, le 25 mai 2018 marquera l'entrée en vigueur du règlement européen relatif à la protection des données personnelles, le règlement général de protection des données personnelles (RGPD, en anglais GDPR). Les avancées sont importantes pour les individus sur le territoire européen. Le RGPD renforce la protection des données personnelles. Ces « données personnelles » sont toutes les informations permettant d'identifier un individu directement ou indirectement : nom et prénom, numéro de sécurité sociale, et autres informations communes viennent tout de suite à l'esprit. Mais les données personnelles sont aussi les caractéristiques physiques, culturelles, sociales, jusqu'à des éléments comportementaux digitaux comme les adresses IP, les identifiants et mots de passe ou encore les habitudes de navigation Internet. Pour toutes ces données, le règlement vise à conférer aux individus une plus grande maîtrise concernant leurs données et l'usage que les entreprises en font. Cela passe par :
la garantie de disposer de politiques de la part des entreprises relatives à la vie privée expliquées dans un langage compréhensible ; un droit d'accès renforcé aux données personnelles détenues par l'entreprise ; le droit de portabilité de ses données vers un autre fournisseur de service ; enfin, le droit à l'oubli permettant au client de rectifier ou d'effacer leurs données.
Des travaux de conformité d'ampleur pour toutes les entreprises
Toutes les organisations manipulant les données d'une personne présente sur le territoire de l'Union européenne devront respecter ces droits. Les organisations traitant à grande échelle des données sensibles auront à nommer ou recruter un Data Protection Officer (DPO). Les développements de produits et services devront intégrer, dès les premières étapes de conception, la protection des données (privacy by design). L'usage que feront les entreprises des données personnelles sera communiqué aux personnes concernées et leur consentement devra être recueilli. Les entreprises seront tenues d'être en capacité de démontrer leur conformité au travers de leurs processus, de leur organisation, des systèmes d'information et des compétences de leurs équipes. Les mesures de sécurité IT mises en oeuvre devront permettre la préservation de la confidentialité, de l'intégrité et de la disponibilité des données personnelles. Les organisations auront l'obligation d'informer l'autorité de supervision et les personnes concernées en cas de violation des données personnelles.
La liste n'est pas ici exhaustive mais elle donne déjà un aperçu de l'ampleur des travaux à mener pour atteindre le bon niveau de maîtrise de ces données personnelles. Dans des organisations parfois complexes, avec des systèmes d'information multiples, utilisant de nombreux canaux de collecte des informations personnelles, cette obligation se transforme en challenge aux enjeux majeurs. D'autant que les organisations se trouvent en coresponsabilité avec leurs sous-traitants et cela, partout dans le monde.
En France, la Commission nationale informatique et libertés (CNIL) veillera à la mise en application du règlement par les entreprises. Elle pourra appliquer des sanctions. D'un point de vue opérationnel, les sanctions pourront consister en la suspension, voire la suppression de l'autorisation de traitement des données. Sur le plan financier, les amendes administratives pourront atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. À ceci s'ajoute l'impact sur l'image de marque et la réputation, à une époque où la confidentialité et la protection de leurs données personnelles deviennent l'une des préoccupations croissantes des citoyens européens.
Maîtriser les données, le sujet est-il si nouveau pour les banques ?
Les données personnelles sont un domaine pour les banques qui évoquent d'autres textes réglementaires applicables : par exemple, la loi Eckert[1] qui vise à protéger les épargnants et à améliorer la recherche des ayants droit. L'identification des comptes inactifs implique, elle aussi, sur l'attente d'un régulateur, ici l'ACPR, un bon niveau de maîtrise et de qualité des données concernées. Tout comme son pendant chez les assureurs, pour qui la gestion des contrats vie non réglés a occasionné de nombreux travaux sur les données.
On le sait, la liste des réglementations auxquelles sont soumises les banques est longue. De nombreuses d'entre elles nécessitent de manière explicite ou implicite un bon niveau de qualité et de gouvernance des données. Nous pourrions citer BCBS 239[2], dont les 11 principes visent à renforcer les capacités des banques dites « systémiques » (selon la définition de la Banque Centrale Européenne) et à agréger leurs données relatives aux risques, et imposent une très haute maîtrise des définitions, de la collecte, des traitements et de la qualité des données. Dans un autre registre, ANACREDIT (Analytical Credit and Credit RiskDataset)[3], le projet de la BCE d'une base européenne de données statistiques sur les crédits, imposera aux banques de mettre à disposition de nombreuses données. Pour chaque ligne de crédit accordée, une centaine d'informations seront à fournir. Les banques devront traiter d'importants volumes de données tout en s'assurant de leur pertinence et du bon niveau de qualité.
On le voit, les réglementations bancaires les plus récentes font de la qualité et de la gouvernance des données des sujets majeurs pour les banques. Les exigences portent, en général, sur des données de plus en plus détaillées à traiter dans des délais de plus en plus courts.
L'un des facteurs clés de succès sera la capacité des banques à développer leur agilité à manipuler les données en se dotant d'une gouvernance des données appropriée. Les adhérences entre tous ces sujets réglementaires doivent inciter chacun des acteurs du secteur à penser sa gouvernance à l'échelle d'un groupe et non plus en silo comme nous le voyons encore chez nombre d'entreprises. L'objectif est de concilier tout à la fois l'intégralité des sujets réglementaires en lien avec les données mais également les opportunités business. Mieux maîtriser les données permet d'améliorer la connaissance de ses clients et des marchés. De nombreux établissements bancaires réfléchissent actuellement à la définition d'indicateurs. Il permettrait de mesurer, à terme, le retour sur investissement d'un point de vue business, la gouvernance mise en place pour répondre à ces enjeux réglementaires.
Vers une gouvernance des données transverse qui réponde à la fois aux enjeux business et réglementaires
Dans cette optique, la mise en place d'une gouvernance des données semble évidente. Mais quels sont les objectifs de cette gouvernance et en quoi consiste-t-elle ?
Pour commencer, cette politique de gouvernance permet de définir l'organisation nécessaire pour atteindre les objectifs de maîtrise et de qualité des données. Les rôles et responsabilités relatives à la propriété, au contrôle et au traitement des données sont établis. Les livrables et les comités à créer ou à modifier sont définis.
Parmi les livrables, le dictionnaire des données ou le glossaire d'entreprise est une clef de voûte. Il permet de définir le langage métier commun, de façon de s'assurer que chacun utilise le même terme pour désigner la donnée identique et éviter les confusions autour de données supposées similaires en tout point, mais ayant des valeurs différentes en fonction de la provenance. On parle bien ici d'un dictionnaire des termes métier, construit par les métiers. Ce dictionnaire servira de référence pour exprimer un besoin nouveau ou sera complété si de nouvelles données émergent. Par exemple, l'agrégation de données « risques » au niveau d'un groupe bancaire nécessite une transmission de données par toutes les entités et les lignes métiers à travers le monde. Une démarche d'une si grande envergure rend indispensable un tel outil. Bien que paraissant plus simple a priori, l'exercice est tout aussi nécessaire pour identifier les données personnelles détenues dans une telle organisation.
De même, il est nécessaire de connaître le cheminement des données au travers des systèmes d'information pour maîtriser les traitements appliqués aux données. Sur ce point, il faut intégrer les éléments hors-SI, ces fameux tableurs ou bases de données locales développés par les utilisateurs et appliquant parfois des traitements majeurs aux données. Dans ce cheminement des données, il convient d'identifier les contrôles et de les décrire dans un registre. La vision de bout en bout des contrôles appliqués aux données ainsi obtenue permettra de porter un regard critique sur la pertinence et la complétude de leur couverture du risque de non-qualité des données. Les résultats de ces contrôles et l'atteinte des seuils de qualité attendus constitueront les éléments de base aux calculs d'indicateurs de qualité des données.
Sur la base de toutes ces informations, les comités évoqués précédemment disposeront d'éléments factuels et maîtrisés pour piloter la gouvernance des données. Ces comités portés de préférence par les métiers représenteront les différents niveaux d'implication des acteurs de la donnée. Autour des métiers, ces comités peuvent, entre autres, réunir le Chief Data Officer pour la gouvernance des données, le Data Protection Officer pour les aspects juridiques et spécifiques au GDPR, le Chief Information Security Officer pour la sécurité des données. Dans cette organisation, la réflexion à mener sur le rôle et le positionnement du Chief Data Officer nous semble essentielle en tant que garant et véritable incarnation de la gouvernance des données.
L'objectif n'est pas ici la quête de l'absolu qui prendrait la forme d'une qualité à 100 % de toutes les données dont le moindre traitement serait connu. L'objectif premier est d'être en capacité de maîtriser les données, de cibler les efforts de contrôle et de qualité en fonction de la criticité des données et de leurs usages, de pouvoir mesurer objectivement cette qualité et son évolution, pouvoir ainsi arbitrer les actions prioritaires en toute connaissance de cause et mesurer par la suite leurs impacts au travers de l'évolution des indicateurs ; s'assurer que l'effort de contrôle des données ne consiste pas juste à reproduire à chaque étape les mêmes deux ou trois contrôles de qualité de données, mais à remettre le métier au centre du sujet, puisqu'il connaît le sens des données, sait définir les règles métier permettant de s'assurer de leur qualité, connaît la criticité des données pour chacun des usages.
Chacun à son poste, connaissant son rôle au sein d'une organisation transverse et lisible, agissant sur la maîtrise d'un capital commun à toute l'entreprise, est le gage d'une gouvernance efficace donnant de l'agilité pour être en capacité de répondre à moindre coût aux évolutions des réglementations et aux demandes ponctuelles des régulateurs.
Capitaliser sur l'existant pour construire une gouvernance transverse.
Au travers des travaux de conformité précédemment menés, les banques ont acquis une expérience de la gouvernance et de la qualité des données. A minima, ces expériences leur permettent de mesurer les difficultés rencontrées et les coûts générés pour répondre à une demande dans des délais contraints lorsque le patrimoine de données n'est pas sous contrôle. Bien souvent des éléments sont déjà en place pour couvrir certains usages, mais n'ont pas été mis à contribution pour les besoins nouveaux. Voilà autant de points d'appuis pour déployer une gouvernance des données transverse.
Cette gouvernance, étendue à d'autres usages, servira la conformité réglementaire, mais sera aussi un socle pour dégager de nouveaux avantages concurrentiels. Comment imaginer tirer parti aujourd'hui des possibilités offertes par le Big Data et la data science si le sens « métier » des données, leur qualité, leur provenance et leur traitement ne sont pas maîtrisés ? Comment imaginer consacrer des moyens au déploiement d'une gouvernance des données sans couvrir les enjeux commerciaux du digital et de l'amélioration de la connaissance client ?
Les volumes de données, leur variété, la vélocité des traitements, l'intelligence des algorithmes prennent toute leur valeur en s'appuyant sur une gouvernance des données à la hauteur de ces enjeux réglementaires et business.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
444 of 500 DOCUMENTS
Revue Banque
28 juin 2017
Données personnelles et FinTechs : un mariage de raison
RUBRIQUE: CONFORMITÉ
LONGUEUR: 1338 mots
ENCART: Pour tous les acteurs de la banque et de la finance, les données constituent une arme redoutable et essentielle. Elles le sont peut-être encore davantage pour les sociétésFinTechs qui se centrent sur la relation clients et détiennent sur eux des informations importantes permettant de connaître jusqu'à leurs habitudes. Ces dernières doivent aussi se conformer aux exigences réglementaires liées à la protection des données.
Désormais, chaque transaction peut permettre de retracer le lieu et parfois même l'activité des consommateurs, et les informations deviennent encore plus précieuses lorsque l'on agrège entre elles ces données. Elles ne sont plus seulement des données prises individuellement pour analyser une situation : les technologies actuelles permettent d'agréger des milliers de données desquelles il est possible de tirer des analyses qui auraient été improbables en amont.
Cette connaissance du client est un véritable atout pour les acteurs de la FinTech dès lors qu'elle permet de cibler au mieux les attentes et la demande des clients (potentiels) et de leur proposer des produits toujours plus personnalisés. Plus encore, ces données ouvrent aux institutions financières la possibilité d'analyser d'une manière plus efficiente les octrois de crédits en se basant sur l'analyse de l'agrégat de données d'une personne qui, prises isolément, ne permettraient pas de pousser l'étude de l'octroi de crédit aussi loin.
Ces données permettant une offre personnalisée pourraient même pousser les géants de l'Internet à élargir leurs services de base : ils pourraient en effet proposer des services financiers en ligne sur la base des données agrégées concernant un utilisateur, comme les recherches qu'il aurait effectuées sur ledit site (ex : Google).
Une réglementation spécifique pour les services de paiement
Aujourd'hui, environ la moitié des FinTechs existantes sont actives dans la chaîne de paiements.
La directive 2015/2366 concernant les services de paiement (DSP2) innove en créant deux nouvelles catégories d'établissements de paiements : les agrégateurs de comptes et les initiateurs de paiements. Elle comporte quelques dispositions spécifiques quant au traitement de données personnelles par ces nouveaux acteurs. Dès le préambule (considérants 89 et 90), la DSP2 rappelle que la fourniture de tels services peut comporter le traitement de données personnelles. Les textes légaux et réglementaires en matière de données personnelles, tant la directive européenne que les dispositions nationales, sont donc applicables aux prestataires de services de paiement. De plus, dès mai 2018, le règlement 2016/679 sur la protection des données à caractère personnel (RGPD) sera d'application directe dans tous les États membres.
Ainsi, la collecte de données personnelles doit être réalisée pour une finalité précise, sur une base juridique claire et en respectant certaines exigences de sécurité. De même que les principes de nécessité, de proportionnalité, de limitation de la finalité et de durée proportionnée de conservation devront être respectés.
C'est l'article 94 de la DSP2 qui impose les règles, permettant aux prestataires de services de paiement de traiter des données personnelles lorsque cela est nécessaire pour la prévention, la recherche et la détection des fraudes en matière de paiement. Le traitement de ces données spécifiques mais aussi celui de toutes autres données personnelles pour d'autres finalités doivent être effectués conformément aux textes législatifs et réglementaires en la matière, et dans l'avenir conformément au RGPD.
De plus, il est expressément prévu que l'accès à des données personnelles ne peut être réalisé que dans une mesure nécessaire à l'exécution du service de paiement et que le traitement et la conservation desdites données nécessitent le consentement explicite de l'utilisateur du service.
Données personnelles ?
La plupart des données traitées par les FinTechs peuvent être qualifiées de données personnelles, et donc assujetties aux textes cités. Une donnée personnelle est une information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement notamment par référence à des données de localisation ou un numéro d'identification (art. 4.1, RGPD). Des données anonymes peuvent devenir des données personnelles si, agrégées massivement par des instruments algorithmiques puissants, il est possible - sur la base du résultat - de déduire l'identité de la personne concernée.
Licéité
Pour être licite, le traitement et la collecte doivent répondre au principe de finalité. Les FinTechs doivent définir les finalités pour lesquelles les données seront utilisées ultérieurement. En effet, tout traitement sortant du cadre strict de ces finalités sera considéré comme illégal. Cependant, un traitement ultérieur s'il est compatible avec la finalité initiale est permis. De même, un traitement incompatible est permis si l'intérêt légitime du responsable du traitement est prépondérant et que ce traitement est motivé par une analyse d'impact (art. 35 et suivant, RGPD).
De plus, les données, leur traitement et leur collecte ne peuvent pas être excessifs au regard de la finalité établie. Or, compte tenu du brassage de données - se comptant par millions - effectué par les FinTechs, cette proportionnalité dans la collecte sera parfois difficile à respecter. L'enjeu du respect du RGPD se trouve notamment dans cette obligation.
Utilisation pour le profilage ?
La tentation est grande lorsque l'on est en possession de données si riches en informations sur les habitudes de consommation de les utiliser à des fins d'analyse ou de prédiction par un traitement automatique des données personnelles. La définition du profilage trouve son siège à l'article 4.4 du RGPD.
Cependant, le profilage est strictement encadré, notamment par le RGPD. Ainsi, il est absolument nécessaire d'avoir obtenu le consentement de la personne concernée à moins que la loi ne le permette dans des conditions très particulières ou que celui-ci soit nécessaire à la conclusion d'un contrat (art. 22, RGPD).
De plus, toute personne a le droit à ce que tout processus décisionnel le concernant ayant des effets juridiques ou similaires l'affectant significativement ne soit pas soumis uniquement à un processus automatisé. De ce fait, le profilage ne devrait pas être uniquement basé sur un traitement automatique de données. Une intervention humaine et une explication détaillée de la décision notamment (principalement dans le cas d'examens de demandes de crédit) seront nécessaires (art. 22.3, RGPD).
Protection des données
Une autre obligation tout aussi importante est l'obligation de sécurisation des données à caractère personnel. Notamment, en cas de sous-traitance, le RGPD (art. 28) prévoit des règles assez strictes notamment quant au niveau de sécurité attendu des prestataires et au droit d'audit du responsable du traitement auprès de son sous-traitant.
De plus, toute une section 2 (art. 32 et suivants, RGPD) est consacrée au niveau de sécurité attendu pour la protection des données personnelles avec notamment une obligation de communication des failles de sécurité entraînant une violation des données.
Pour assurer le respect des données personnelles, le RGPD instaure aussi deux nouveaux principes : celui de la protection par défaut et celui de la protection dès la conception.
Sanctions
La non-conformité à la protection des données personnelles expose au risque d'amendes considérables. La loi Informatique et Libertés (LIL), depuis la Loi pour une république numérique, permet d'imposer des amendes allant jusqu'à 3 millions d'euros en cas de non-conformité à ses dispositions (art. 47, LIL).
Le RGPD (article 83.6) prévoit lui une amende - en cas de non-respect d'une injonction émise par une autorité de contrôle après constatation d'un manquement - pouvant aller jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires annuel mondial.
Ce durcissement montre une volonté de faire respecter par tous la protection de la vie privée des personnes physiques. Il est donc fort à parier que la conformité (compliance) en matière de données personnelles prendra de plus en plus de place dans le secteur des FinTechs, à côté de la conformité - déjà bien implantée - en matière de KYC.
Au-delà du risque financier, vu l'importance accordée par les personnes à leurs données personnelles, c'est aussi une question de réputation qui sera en jeu pour les acteurs de la FinTech.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
445 of 500 DOCUMENTS
Revue Banque
28 juin 2017
Une protection élargie aux données de communications électroniques
RUBRIQUE: RÈGLEMENT E-PRIVACY
LONGUEUR: 1472 mots
ENCART: La Commission européenne a publié en janvier 2017 un projet de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques (qui abroge la directive Vie privée et Communications électroniques de 2002). Ce règlement complète les dispositions du RGPD et s'intéresse plus particulièrement à la protection des communications électroniques (courriers, SMS, appels vocaux) et à l'utilisation descookies. Encore à l'état de projet, il devrait pourtant entrer en vigueur, comme le RGPD, en mai 2018.
Comment s'articule la proposition de règlement dit « e-Privacy »[1] avec le règlement général sur la protection des données personnelles (RGPD)[2] ?
Tout d'abord, le projet de règlement de la Commission et du Parlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques a été élaboré en collaboration avec nos collègues du département Justice qui ont travaillé sur le texte du GDPR afin d'harmoniser les deux textes. L'objectif n'était pas de faire un règlement RGPD bis, mais d'encadrer précisément les enjeux liés aux communications électroniques. C'est-à-dire que le RGPD fournit un cadre général à la protection des données et le règlement e-Privacy constitue une « lex specialis » par rapport au RGPD. Ainsi, le règlement de la Commission précise et complète le RGPD avec des obligations spécifiques qui s'appliquent aux données de communications électroniques qui peuvent être considérées comme des données à caractère personnel. Toutes les matières relatives au traitement de ces données, qui ne sont pas spécifiquement couvertes par la proposition, le sont par le RGPD comme par exemple les obligations en matière de sécurité ou encore la notification obligatoire à l'utilisateur en cas de perte de ses données. En outre, la proposition de règlement vise aussi à protéger le droit du respect des communications, tel qu'il est consacré à l'article 7 de la Charte des droits fondamentaux de l'Union européenne.
Est-ce à dire que le réglement e-Privacy est plus adapté aux modes de communications électroniques actuels ?
En effet, avec l'avènement des nouveaux canaux de communications qui ne passent plus directement par les opérateurs de télécom classiques, réformer la directive vie privée et communications électroniques de 2002 en profondeur est devenu nécessaire. Ainsi le projet de règlement e-Privacy élargit le périmètre de la protection des données de communication électroniques en faisant rentrer dans son champ d'application les acteurs OTT (Over the top), c'est-à-dire des acteurs comme Facebook Messenger, WhatsApp, Viber ou Skype qui offrent tous des nouveaux services de messagerie. Par ailleurs, comme la directive actuelle, le règlement s'appliquera aussi aux échanges entre personnes morales. Par exemple, dans le cadre du commerce en ligne, les opérateurs de télécommunications seront désormais tenus d'une obligation de confidentialité lorsqu'elles transmettront des informations échangées entre personnes morales, même si les données transmises ne sont pas personnelles.
Quel sera l'impact sur les modèles économiques en place, sachant que les éditeurs sont vent debout contre le projet ?
En partant de la philosophie du texte, il faut savoir que nous avons considéré que l'ordinateur (ainsi que le smartphone ou la tablette) appartient à la sphère privée, car il peut contenir des informations sensibles. Or certains cookies peuvent également recueillir des données de navigation et tracer les internautes lorsqu'ils visitent un site ou utilisent une application. Un consentement préalable de l'utilisateur est donc nécessaire à l'insertion de traceurs, ne serait-ce que pour éviter que les virus s'emparent de sa machine (ou éviter d'être suivi lorsque l'on utilise Internet). Un paramétrage d'origine ainsi qu'une obligation, au moment de l'installation du logiciel de navigation, d'informer l'utilisateur final des paramètres de confidentialité disponibles, avant de continuer l'installation, évite à l'utilisateur un processus de consentement fastidieux. Cette disposition est à l'image de l'utilisation accrue des logiciels de blocage des cookies et autres spywares (logiciels espions) par les consommateurs. Cependant, il reste possible aux utilisateurs finaux de donner leur autorisation au cas par cas. Par exemple, le navigateur pourrait établir pour l'utilisateur final une liste de certains sites web dont il accepte les cookies espions. L'utilisateur devrait disposer d'un éventail de réglages de confidentialité, depuis les plus restrictifs (« ne jamais accepter les cookies ») jusqu'aux plus permissifs (« toujours accepter les cookies »), en passant par des options intermédiaires (« rejeter les cookies de tiers » ou « accepter uniquement les cookies propres », par exemple). Ces paramètres de confidentialité devraient se présenter sous une forme facile à visualiser et à comprendre. De la même façon, les éditeurs conserveront la liberté d'accorder ou non l'accès au contenu de leurs sites en cas de refus de consentement aux pop-up ou cookies de leurs plates-formes web. Le règlement vise à apporter un équilibre entre les intérêts divers des parties prenantes.
Le projet de règlement e-Privacy, y compris l'obligation de consentement, s'applique uniformément à tous les acteurs. Il n'impose pas de modèle économique particulier, que ce soit avec ou sans login, et il ne distingue pas entre grands ou petits fournisseurs, car le risque pour la vie prive existe indépendamment de la qualité de l'opérateur qui insère des traceurs.
S'agissant du consentement de l'utilisateur, pouvez vous préciser cette disposition (18) du projet de règlement : « Le consentement relatif au traitement de données résultant de l'utilisation d'Internet ou des communications vocales ne sera pas valable si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». Que recouvre la notion de « la liberté de choix » dans ce cas ?
Nous sommes favorables à une liberté totale de choix de donner ou non son consentement sans se trouver pénalisé. La proposition de règlement e-Privacy ne contient pas une définition de consentement. Cela comprend la définition du consentement en vertu du règlement (UE) 2016/679 de protection de données personnelles. C'est cette définition qui devrait s'appliquer. Il faudrait voir, au cas par cas, si l'utilisateur final a exprimé ou pas un consentement valable. Il reste évident que les pages qui permettent à l'utilisateur d'accomplir une formalité réglementaire (comme par exemple la déclaration d'impôt en ligne) ne pourront pas être bloquées pour défaut de consentement aux cookies.
Quels sont les points susceptibles de susciter des débats que vous appréhendez lors de la présentation du projet de rapport qui aura lieu à l'assemblée, avant un vote en plénière courant octobre ?
Nous pensons que la proposition est très équilibrée : en étendant son champ d'application à l'ensemble des fournisseurs de services de communications électroniques, le réglement va renforcer le respect de la vie privée dans ces échanges. En même temps, il va créer de nouvelles possibilités de traiter des données de communication et renforcer la confiance et la sécurité dans le marché unique numérique, l'un des objectifs clés de la stratégie de ce marché. Il est difficile de prévoir les points susceptibles de susciter des débats au sein du Parlement européen. Les projets de rapport et des opinions soulèvent différents points, y compris le niveau du paramétrage des logiciels de navigation. Par exemple, on voit que le rapport de Madame Lauristin[3] préconise que les logiciels qui permettent d'effectuer des communications électroniques offrent par défaut la possibilité d'empêcher les tiers de stocker des informations sur l'équipement terminal d'un utilisateur final ou de traiter des informations déjà stockées sur ledit terminal.
L'entrée en vigueur du règlement est prévue pour le 25 mai 2018, comme le GDPR, mais eu égard aux oppositions des entreprises du digital qu'il subit, cette date pourra-t-elle être tenue ?
Oui, la date d'entrée en vigueur le 25 mai 2018 est maintenue et nous oeuvrons en ce sens. e-Privacy devrait s'appliquer en même temps que le RGPD afin d'assurer aux consommateurs de l'UE une protection élargie de leurs données personnelles à date, communications électroniques comprises.
Quelle mise en garde pourriez-vous adresser à l'industrie financière très friande des nouvelles technologies d'identification qui recueillent des données des clients sur la toile dans le but « avoué » de se mettre en conformité avec leurs exigences réglementaires (LCB-FT) ?
Le règlement vie privée s'applique surtout aux fournisseurs de télécom, y compris les OTT. Il y a peu d'articles du règlement qui sont d'application aux opérateurs qui ne sont pas compagnies de télécom. C'est le cas des articles concernant les envois des communications non sollicitées à fin de prospection directe (spam). C'est aussi le cas des cookies : obtenir un consentement au stockage des cookies est obligatoire. Vis-à-vis de ces articles, les points importants à retenir concernent ceux qui visent à donner aux utilisateurs l'information nécessaire pour qu'ils puissent faire un choix. La transparence reste primordiale.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
446 of 500 DOCUMENTS
Journal du Net, JDN Solutions
Lundi 26 Juin 2017
Data protection officer (DPO) : définition, formation et salaire
AUTEUR: Lucas Jakubowicz
RUBRIQUE: ARTICLES; Direction générale
LONGUEUR: 1423 mots
ENCART: Le data protection officer sera obligatoire en France dans certaines entreprises le 25 mai 2018. Voici ce qu'il faut savoir sur son rôle, sa formation et son salaire.
D'ici le 25 mai 2018, les entreprises et les administrations qui utilisent des données à caractère personnel devront recourir aux services d'un data protection officer (DPO). Quel est son rôle et ses obligations ? Quelles sont les formations pour exercer ce métier ? Quel salaire peut espérer un data protection officer ? Soulignons qu'actuellement, il existe déjà dans certaines entreprises des correspondants informatique et libertés (CIL) qui font le lien entre la CNIL et les entreprises. Ils pourraient se voir requalifiés en data protection officer.
Data protection officer : définition
Les données sont présentes en masse dans les entreprises. Ce qui peut poser des risques en matière de sécurité mais aussi de légalité. Pour aider les entreprises, un nouveau métier a le vent en poupe dans le secteur du numérique : le data protection officer (DPO).
Sa mission est la suivante : s'assurer que son employeur ou son client respecte la législation lorsqu'il utilise les données à des fins commerciales (mailing par exemple) mais aussi à des fins internes (logiciels RH). Son rôle est donc transversal, ce qui l'amène à travailler avec de nombreux départements : direction générale, marketing, développement ou encore RH. En cas de manquement à la loi, il est tenu d'alerter sa direction dans les plus brefs délais.
Son rôle est très polyvalent. En plus de connaissances en informatique et en cybersécurité, le data protection officer est tenu de posséder une grosse culture juridique, notamment en droit des nouvelles technologies de l'information et de la communication (NTIC). Aujourd'hui, des juristes spécialistes des NTIC, des informaticiens, des ingénieurs en cybersécurité peuvent exercer des fonctions de data protection officer au sein d'entreprises ou de cabinets de conseil.
Data protection officer obligatoire
Le 26 avril 2016, le Parlement européen a publié un règlement sur les données personnelles. Connu sous le terme de Règlement général sur la protection des données (RGPD), il rend obligatoire le métier de data protection officer dans toutes les entreprises et administrations qui sont amenées à traiter à grande échelle des données sensibles. Concrètement, les entreprises et les administrations concernées ont jusqu'au 25 mai 2018 pour nommer un data protection officer.
L'article 37 du règlement stipule que les organismes chargés de traiter des données désignent "en tout état de cause" un délégué à la protection des données lorsque :
"Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leurs fonctions juridictionnelles" "Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ou" "Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données à caractère personnel relatives à des condamnations pénales".
En résumé, les sociétés concernées sont donc celles qui sont amenées à traiter des données personnelles sans plancher de taille. Une TPE remplissant les critères énumérés ci-dessus sera donc contrainte de nommer un data protection officer à partir du 25 mai 2018.
Data protection officer : formation
Plusieurs formations permettent déjà d'accéder à un poste de data protection officer. Elles peuvent être fournies par des universités ou des écoles d'ingénieurs.
Diplôme d'université délégué à la protection des données data protection officer (Paris II Panthéon Assas) Mastère de "Management et protection des données à caractère personnel" de l'ISEP Mastère "Sécurité de l'information et des systèmes" de l'ESIA Diplôme de correspondant informatique et libertés de l'Université de Paris Nanterre Diplôme universitaire de DPO / CIL de l'université de Franche Comté MBA spécialisé Management de la sécurité des données (Institut Léonard de Vinci)
Notons qu'à court terme plusieurs autres formations devraient ouvrir pour accompagner la forte demande qui devrait se développer en 2018.
Data protection officer : salaire
Comme bien des métiers du numérique, le poste de data protection officer est récent. Le terme n'est pas forcément inscrit sur la fiche de poste. Selon les données de l'Association française des données personnelles (AFCDP), les salariés qui exercent actuellement des fonctions correspondants à celle de data protection officer peuvent espérer un salaire mensuel brut compris entre 2 500 et 4 000 euros.
Data protection officer : CNIL
Si le poste de data protection officer n'est pas encore obligatoire en France, la CNIL est très attentive à la protection des données personnelles sur Internet. Elle a instauré la présence de correspondant informatique et libertés (CIL) depuis 2005. Celui-ci peut intervenir dans les entreprises ou les administrations.
Ce correspondant n'est pas obligatoire. Il sert d'intermédiaire entre l'entreprise et la CNIL. Il veille au respect de la loi informatique et libertés de 1978 dans les entreprises. Il peut s'agir d'un responsable cybersécurité, d'un informaticien ou encore d'un juriste. Il effectue cette fonction de manière bénévole en plus de son travail. Il peut agir au nom de plusieurs personnes morales. Selon les données de l'Association française des correspondants des données à caractère personnel (AFCDP), en juin 2017, il existe 5 000 correspondants informatiques et libertés qui agissent auprès de 18 000 personnes morales.
Data protection officer en France
Comme les 28 pays membres de l'Union européenne, la France sera tenue d'appliquer le règlement relatif à la protection des données. Pour cela, il sera nécessaire de recruter un nombre important de data protection officer. A l'heure actuelle, l'AFCDP prépare une estimation du nombre de data protection officer qui seront nécessaires dans l'Hexagone. Ils sera rendu public fin 2017.
Aujourd'hui, une majorité des correspondants informatiques et libertés occupe une fonction proche du futur data protection officer. C'est pourquoi, l'AFCDP demande l'application d'une "clause du grand père", c'est à dire la requalification de certains correspondants informatique et libertés en data protection officer à compter du 25 mai 2018. Pour la première fois en 2017, le JDN organise un événement destiné à récompenser les meilleurs DPO en France : La Nuit du Data Protection Officer.
Mutualiser un data protection officer
A partir du 25 mai 2018, les entreprises concernées par le règlement européen seront dans l'obligation de recourir aux services d'un data protection officer. Néanmoins, il ne sera a priori pas nécessaire de recruter un data protection officer à plein temps.
Concernant les organismes publics, le règlement général sur la protection des données (RGPD) est clair : "Lorsque le responsable du traitement ou le sous-traitant est une autorité publique ou un organisme public, un seul délégué à la protection des données peut être désigné pour plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille". Cela signifie que plusieurs organismes publics pourront désigner un data protection officer mutuel (c'est déjà le cas pour les correspondants informatique et libertés).
Concernant, les entreprises privées, rien n'est encore décidé. "Pour des raisons pratiques et budgétaires, le secteur privé pourra surement faire de même. Une PME touchée par la mesure ne pourra pas financer un data protection officer avec un statut de cadre voire de cadre supérieur", estime Bruno Rasle, délégué général de l'AFCDP, qui prédit la montée en puissance prochaine de cabinets de conseil en protection des données.
Recruter un data protection officer
Pour le moment, le terme de data protection officer n'est pas encore totalement entré dans le langage courant. Conséquence, certains candidats recherchent des postes de data protection officer mais ne mentionnent pas toujours le terme sur leur CV et leur lettre de motivation. Et des entreprises passent des annonces pour recruter ce type de profils en utilisant d'autres noms de métiers (ingénieur en cybersécurité, consultant data privacy, juriste NTIC...).
Néanmoins certains jobboards ou cabinets de recrutement spécialisés dans l'IT recourent déjà au libellé de data protection officer. Ce terme devrait être de plus en plus utilisé suite à l'obligation faite à certaines entreprises de recruter un data privacy officer.
DATE-CHARGEMENT: 27 Février 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: JOURNALDUNET
Copyright 2017 Benchmark Group
Tous droits réservés
447 of 500 DOCUMENTS
La Tribune - Objectif Aquitaine
Lundi 26 Juin 2017
Analyse digitale concurrentielle : AT Internet s'allie à SimilarWeb
AUTEUR: Mikaël Lozano
RUBRIQUE: INNOVATION
LONGUEUR: 616 mots
ENCART: Spécialiste mondial de la data intelligence, la mesure de l'audience digitale et son optimisation, AT Internet noue un partenariat avec SimilarWeb, acteur israélien en forte croissance sur le marché de l'information concurrentielle. Les deux sociétés ont mis en place un outil permettant de comparer les données issues de son site web à celles de ses concurrents. AT Internet met également la dernière main à la refonte totale de sa plateforme, une étape stratégique pour l'entreprise.
Contextualiser les données web analytics et affiner ainsi sa stratégie digitale. C'est l'objet du partenariat noué entre AT Internet, dirigée par Mathieu Llorens, PME de plus de 200 salariés installée à Mérignac près de Bordeaux, et SimilarWeb, société basée à New York spécialisée dans la veille concurrentielle. Cette dernière compte parmi ses clients Google, Criteo, Voyages-sncf.com, L'Oréal... à qui elle fournit des informations provenant de sites internet ou d'applications leur permettant de comprendre, mesurer et donc accroître leurs parts de marché. AT Internet mesure de son côté 20.000 sites et applications à travers le monde. Son c ur d'activité est la collecte de données brutes, son traitement en temps réel, et sa restitution pour analyse.
"Avec leurs données benchmark et notre précision dans la mesure, nous sommes parfaitement complémentaires, explique Mathieu Llorens, directeur général d'AT Internet. Notre partenariat est donc très naturel et aborde un sujet essentiel, la dimension relative de la donnée. Le tableau de bord que nous proposons permet donc d'obtenir des informations sur sa propre performance digitale et celle de ses concurrents. L'association de nos deux solutions permet d'analyser les comportements des consommateurs et d'optimiser sa stratégie en fonction de ces renseignements. Nous visons tous les secteurs d'activité." Etape stratégique Mathieu Llorens et ses équipes préparent un autre jalon important pour AT Internet : la refonte totale de sa plateforme.
"Nous avons refait le moteur et la carrosserie, sourit le dirigeant. Nous présenterons notre nouvelle plateforme à l'automne. Elle sera à la fois plus efficace et plus fine, nous avons passé beaucoup de temps dessus. C'est une étape importante pour l'entreprise, nous ressentons donc un mélange de fébrilité parce qu'il y a derrière de gros enjeux techniques, des technologies très ambitieuses, et d'euphorie." AT Internet est aussi très sollicité au sujet du Règlement européen sur les données personnelles (RGPD) qui entrera en vigueur en 2018 et qui s'apprête à révolutionner le cadre légal de l'usage des données personnelles en se substituant à la dernière directive, obsolète car datant de... 1995 ! Il a pour objectif de pousser les entreprises à prendre au sérieux - enfin - la question du traitement des données des internautes. A titre d'exemple, elle impose aux entreprises d'être garantes du respect de la vie privée, de tenir un registre des traitements (remplaçant l'ancienne déclaration préalable à la CNIL) ou encore d'obtenir un consentement explicite de la part de l'internaute afin de faire quoi que ce soit de leurs données. >> Lire : "Règlement européen sur la protection des données : ce qui change pour les professionnels" sur le site de la CNIL "Nous travaillons beaucoup sur cette question du RGPD, explique Mathieu Llorens. Pour le moment le marché est séparé en deux : il y a ceux qui s'y intéressent de très près et les autres." Ce cadre légal vise, entre autres, à limiter les dérives dans l'utilisation de la donnée qui peut être constatée chez certains acteurs hégémoniques comme Google, en introduisant notamment des sanctions bien plus importantes, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaire annuel.
"Ce règlement vient conforter notre credo, qui est que la donnée appartient d'abord à l'internaute, puis au site, pas à Google ou à AT Internet, précise Mathieu Llorens. Il ajoute également la notion de co-responsabilité des données avec les sous-traitants. La CNIL et la Commission européenne ont l'air déterminées à avancer. Les données ne sont pas là que pour vendre, elles doivent avant tout servir à améliorer le service apporté à l'internaute."
DATE-CHARGEMENT: 26 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: TRIBOA
Copyright 2017 La Tribune
Tous droits réservés
448 of 500 DOCUMENTS
Les Echos Business
lundi 26 juin 2017
Comment JCDecaux encadre les données personnelles
AUTEUR: GERALDINE DAUVERGNE
RUBRIQUE: ARTICLE; La réforme européenne apportera de la clarté; Pg. 4 N°. 22473
LONGUEUR: 711 mots
ENCART: Le leader mondial de la communication extérieure, entré depuis plusieurs années dans l'ère de la data, compose avec les cadres législatifs français et européen sur la protection des données personnelles.
Le 8 février dernier, le Conseil d'Etat donnait raison à la CNIL, qui refusait d'autoriser JCDecaux à comptabiliser les téléphones mobiles grâce à ses mobiliers urbains. L'entreprise voulait estimer le flux de piétons sur la dalle de la Défense, grâce à ses panneaux publicitaires digitaux équipés de boîtiers permettant de détecter les identifiants de portables par wi-fi. Mais la solution d'anonymisation des données collectées proposée par JCDecaux était insuffisante, a considéré l'autorité.
« L'arrêt du Conseil d'Etat n'a pas été un coup d'arrêt pour nos activités de recherche et d'innovation, assure toutefois Bertrand Allain, directeur juridique du groupe. C'est JCDecaux qui avait sollicité l'accord de la CNIL en 2014, pour tester ce dispositif de mesure d'audience de mobiliers digitaux. Mais il ne s'agissait que d'une expérimentation. Depuis la date où nous avons sollicité la CNIL, d'autres solutions techniques satisfaisantes ont émergé. L'évolution de la technologie fait en sorte que les obstacles que nous avons rencontrés avec la CNIL ne devraient pas se reproduire. » La montée en puissance de la data associée au digital a fait entrer le leader mondial de la communication extérieure dans la nouvelle ère des Smart Cities, lui permettant de proposer de nouveaux services intelligents aux annonceurs comme aux collectivités. JCDecaux, qui réalise environ 80 % de son chiffre d'affaires à l'international, a ainsi implanté 50.000 dispositifs publicitaires digitaux dans le monde.
« La révolution que nous vivons rend le sujet de la mesure d'audience propre à la communication extérieure de plus en plus sensible, et ouvre des perspectives inédites, explique Bertrand Allain. JCDecaux a développé une très forte sensibilité 'informatique et liberté' et a toujours été extrêmement attentif à sa stricte application. C'est aujourd'hui à nouveau le cas avec la loi Grenelle II du 12 juillet 2010 qui concerne le groupe français dans son coeur de métier. Celle-ci impose que toute mesure d'audience passive, en communication extérieure, soit autorisée par la CNIL. »
La réforme européenne apportera de la clarté
Or cette loi française est plus exigeante que bien d'autres à l'étranger, et la CNIL a une pratique très stricte de la réglementation, déplore le directeur juridique. « Avec la loi Grenelle II, la France est le seul pays à avoir posé un principe d'interdiction des mesures d'audience sans autorisation préalable. » Le cadre normatif en France est ressenti de manière d'autant plus contraignante qu'il existe de sérieuses différences de traitement. « Certains de nos concurrents n'y sont absolument pas soumis, comme les acteurs du Web ou les opérateurs téléphoniques, qui sont massivement financés par la publicité. De plus, en France, la distinction entre domaine public et domaine privé ajoute encore à la complexité juridique de nos activités. »
La prochaine entrée en vigueur du règlement général sur la protection des données de l'Union européenne (RGPD), à partir du 25 mai 2018, ne devrait pas changer grand-chose à l'affaire. « Le statut très particulier pour la mesure d'audience propre à la communication extérieure n'est pas prévu par le règlement européen, mais JCDecaux sera toujours soumis à Grenelle II, qui pose des exigences plus fortes que le règlement européen », assure Bertrand Allain. Le nouveau règlement n'aura pas que des inconvénients. « Il permettra au moins d'harmoniser les conditions de la concurrence en Europe, et apportera de la clarté au cadre législatif », précise Bertrand Allain.
Chez JCDecaux, le règlement européen est donc accueilli favorablement, et on s'y prépare activement. « Nous avons mis en place un plan d'action. Dans chacun des pays où nous sommes présents, nous avons mené un audit de l'existant, et identifié les actions à mener pays par pays, pour se mettre à niveau avec le RGPD. C'est un sujet majeur pour les années à venir », précise le directeur juridique. Sur le plan international, le service juridique, qui travaille de concert avec celles de la stratégie et de la recherche et du développement, veille à mettre en place « une approche cohérente » au niveau de tout le groupe. L'entreprise s'est d'ailleurs dotée d'un département data privacy, au sein de la direction juridique, dès 2010.
DATE-CHARGEMENT: 27 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
449 of 500 DOCUMENTS
Revue Banque
26 juin 2017
L'épineuse question de l'accès aux données de paiement
RUBRIQUE: NOUVEAUX USAGES
LONGUEUR: 3891 mots
ENCART: À l'heure où les données de paiement constituent l'or de l'économie, de nouveaux acteurs font irruption pour exploiter un gisement traditionnellement réservé aux banques. Une nouvelle activité tisse sa toile, ce qui n'est pas sans soulever de vastes questions juridiques.
La question de l'accès à la donnée de paiement n'est pas sans rappeler une histoire où, dans la terrible jungle, un petit animal trouve un oeuf, mais une bête toujours plus grosse affirme que l'oeuf lui appartient... le plus gros animal ayant toujours le dernier mot. Quand enfin le chef intervient pour arbitrer le litige et rendre l'oeuf convoité au plus petit des animaux, l'oeuf se brise pour laisser apparaître un crocodile, qui n'hésite pas à avaler la petite bête.
C'est un peu le cas de la donnée de paiement qui finira bien par engloutir tous ses aspirants. Car dans cette jungle, ce ne sont pas seulement les acteurs traditionnels du secteur que sont les établissements de crédit, de paiement[1] et de monnaie électronique[2] qui se battent pour obtenir des droits d'accès aux données de paiement ; sont apparus à leur côté des tiers qui ne sont pas - du moins jusqu'à la prochaine transposition de la DSP 2[3] prévue pour janvier 2018 - soumis au respect des règles prudentielles, et qui agissent à la limite de ces activités[4]. Il s'agit des prestataires de services de paiement tiers (« PSP tiers »).
Parmi ces nouveaux acteurs, on trouve deux types de prestataires :
les facilitateurs de transactions de paiement, qui proposent des prestations d'initiation de paiement (i. e. lors de la validation d'un panier) telles que des services d'authentification forte, des facilités de paiement, des garanties de paiement ou encore des assurances ; et les prestataires spécialisés en « push » d'offres commerciales associées à la transaction, sur le mode par exemple d'Amazon, basées sur de l'analyse prédictive et de l'ingénierie de moteurs de recherche et sur de l'agrégation d'informations relatives aux données bancaires.
Ces nouveaux usages questionnent le maintien d'un niveau de sécurité élevé, qui demeure jusqu'à présent la référence pour les schèmes et le régulateur : le « chip & pin » et le faible niveau de fraude associé. Mais cette sécurité a un prix : l'agilité. Or les établissements de crédit et de paiement et les sociétés de financement ne souhaitent pas supporter la responsabilité de l'agilité de ces nouveaux acteurs, qui leur font concurrence. C'est l'épineuse question du « liability shift »[5].
Quant aux agrégateurs de données, sont-ils soumis aux mêmes règles en termes de secret professionnel, de sécurité informatique ou encore de respect des données à caractère personnel, notamment au regard du futur RGPD (règlement général sur la protection des données) ?
Si l'objectif ambivalent de la DSP 2 est d'encadrer l'activité de ces nouveaux acteurs, elle n'en salue pas moins leur arrivée sur le marché, qui doit permettre la promotion de la concurrence, l'efficience et l'innovation dans le secteur des paiements électroniques tout en garantissant des services de paiement sûrs et transparents, ainsi que la sécurité juridique et l'égalité des conditions de concurrence[6].
Trois catégories de données
À titre liminaire, précisons de quoi l'on parle exactement. Les données en question relèvent de trois catégories :
les données issues des paiements (montant de la transaction, nom du commerçant, panier moyen, mais également des données plus atypiques comme l'orientation sexuelle, la composition du foyer, etc.) ; les données issues de la relation banque-client (catégorie socio-professionnelle, situation financière, sexe, âge, etc.) ; les données d'authentification (numéro de carte bancaire, nom, code d'accès, cryptogramme visuel).
En fonction de la nature de ces données, celles-ci peuvent être soit sensibles, soit personnelles, soit soumises au secret professionnel[7], soit protégées par le droit pénal, ou encore tout cela simultanément[8].
À qui appartiennent ces précieuses données ? À l'individu. Du moins, c'est bien lui qui est habilité à les utiliser et qui dispose des droits sur ces dernières, le terme consacré étant que l'individu est « empowered ». Et cet individu est bien souvent prêt à consentir à l'utilisation de ses données pour accéder à des services agiles[9]. Là où la question se complique, c'est que les bases de données où sont logées ces données appartiennent au titulaire des droits sur les bases de données. De fait, l'usufruit de ces données, leur agrégation, les interconnections qui en sont faites et qui donnent aux algorithmes tout leur sens constituent une chaîne de valeurs particulièrement complexe : la donnée de paiement appartenant à l'individu, la base de données appartenant selon la titularité des droits sur les bases de données, soit à la banque émetteur, soit à la banque acquéreur, soit au PSP tiers, soit à l'établissement de monnaie électronique, qui peut à son tour se présenter aussi bien en tant qu'intermédiaire proposant de faciliter le paiement ou comme prestataire offrant des services commerciaux supplémentaires.
Aussi, pour analyser au mieux les enjeux juridiques de ceux qui accèdent aux données bancaires, il convient de s'interroger sur l'identité de l'acteur qui porte la responsabilité de l'authentification forte (I.) et de vérifier que les règles imposées aux banques en termes de secret professionnel, de protection des données personnelles et de sécurité informatique n'entraînent pas une distorsion de la concurrence au détriment des banques (II.).
I. L'authentification forte : le nerf de la guerre du « liability shift »
La notion d'authentification forte
La notion d'authentification s'oppose à celle d'identification. Par exemple, lorsqu'une personne présente son passeport pour un contrôle, elle est identifiée grâce à ce document, mais elle n'est pas authentifiée pour autant : le lien entre le passeport et la personne n'est pas établi de façon indiscutable, irrévocable et reconnue par les tribunaux en cas de litige. Cette authentification doit être apportée par un tiers de confiance et par une preuve admise devant les tribunaux.
Ainsi, un achat réalisé en confirmant un code reçu par SMS implique uniquement que ce SMS a été recopié sur une page Internet - le propriétaire de la ligne n'a pas été authentifié (cas du vol d'un portable et utilisation par un tiers) et aucune preuve matérielle ne permet de s'assurer de son consentement.
Les systèmes d'authentification utilisent un seul facteur (i. e. un mot de passe). Pour sécuriser l'opération, l'authentification forte utilise plusieurs facteurs de nature distincte (mot de passe, empreinte digitale, token, carte à puce, etc.). L'authentification forte a plusieurs fonctions : le contrôle d'accès (qui y a accès) ; la confidentialité (qui peut voir) ; l'intégrité (qui peut modifier) ; la traçabilité (qui l'a fait) et l'irrévocabilité (qui peut le prouver).
L'apport de la DSP 2
Tirant les enseignements de la DSP 1[10], la DSP 2 adapte le cadre réglementaire des services de paiement aux défis posés par l'innovation et consacre le fait que les PSP tiers[11] seront en mesure de fournir les nouveaux services de paiement : initiation de paiement et agrégation d'informations. Ces derniers ne détenant pas de fonds pour le compte des utilisateurs, ils seront soumis à une procédure d'agrément et à des exigences prudentielles allégées.
La création de ces nouveaux services a conduit le législateur européen à créer un droit des utilisateurs, d'accès aux comptes de paiement tenus par les PSP gestionnaires de comptes lorsque ces comptes sont accessibles par voie électronique. Ce droit d'accès concerne les PSIP et les PSIC, mais également les PSP émetteurs d'instruments de paiement liés à une carte.
Les services proposés par les PSP tiers s'inscrivent de fait en complément de la chaîne de valeurs bancaires. Les PSP tiers prennent la forme de plateformes intermédiaires qui se couplent aux opérations bancaires classiques. D'un point de vue opérationnel, ces nouveaux acteurs ne se rémunèrent pas sur les commissions bancaires ; ils se positionnent en tant qu'intermédiaires, provoquant l'évolution du circuit des paiements vers une relation quadripartites entre banques, clients, commerçants et PSP tiers.
La FBF a été particulièrement amère lors de l'adoption du texte de la DSP 2 : « ce texte n'apporte pas de réponses claires et à la hauteur des enjeux de responsabilité, de supervision et de sécurité. [...] Certes, le principe d'authentification forte a été introduit dans la directive et une supervision partielle de nouveaux acteurs est prévue. Mais l'ensemble est renvoyé aux textes d'application confiés à l'Autorité bancaire européenne et à la Commission. En outre, plusieurs points problématiques demeurent :
· les exigences de sécurité applicables aux tiers de paiement dans leurs relations avec le client et sa banque [...] restent floues ;
· [...] le partage de ces données n'est pas interdit ;
· la traçabilité des transactions afin d'identifier les responsabilités de chacun des acteurs n'est pasprévue »[12].
Surtout « les banques ne veulent en aucun cas assumer les conséquences, y compris financières, des choix du client ou de manquements d'un prestataire de services de paiement tiers au regard des exigencesde sécurité »[13]. C'est le fameux « liability shift » que l'Autorité bancaire européenne (ABE) a arbitré aux termes du Final Draft of the Technical Standard Regulations (RTS)[14].
Les Technical Standard Regulations
Concrètement, les recommandations de l'ABE publiées le 23 février dernier excluent l'accès aux données dès lors qu'un tel accès pourrait permettre de perpétrer une fraude. Or, il suffit de quelques transactions bancaires pour identifier un individu. Aussi, comment déterminer ce qu'est une donnée sensible ? À ces incertitudes s'ajoute l'exigence de demander une authentification forte de l'utilisateur final, avec :
un audit annuel ; pas plus de 5 erreurs d'authentification, à défaut de quoi le service doit être réinitialisé et un laps maximum de 5 minutes sans activité pour la déconnexion au service ; le paiement sans contact ne peut excéder 50 euros, ou 150 euros cumulés sur plus de 5 transactions consécutives ; les transactions sont considérées de faible valeur dès lors qu'elles sont inférieures à 30 euros, là où les projets antérieurs faisaient état de 10 euros ; les PSP tiers ne peuvent interroger le teneur de compte que sur demande explicite de leur client final ou, au maximum, quatre fois par jour.
Autant d'éléments qui risquent selon les PSP tiers de nuire à leur attractivité, et cela au nom de la sécurité informatique.
Néanmoins, et suite à l'important nombre de contestations de la part des différents acteurs économiques sur le principe de l'authentification forte systématique, jugé trop strict pour les paiements, l'ABE a finalement accepté d'assouplir la règle, en introduisant deux nouvelles exemptions à ce principe :
la première repose sur une analyse des risques relatifs aux transactions ; la seconde concerne les paiements effectués sur des terminaux de paiement autonomes, en général utilisés dans les transports en commun ou dans les parkings.
À noter toutefois que l'exemption relative à l'analyse des risques d'une transaction est liée à un niveau prédéfini de fraude et est assujettie à une clause de révision, 18 mois après la date d'application des RTS.
Un des autres points faisant débat concerne la communication entre les établissements teneurs de compte et les deux nouveaux types de PSP tiers réglementés. L'ABE a conservé sa position initiale sur le sujet et l'obligation pour les établissements teneurs de compte d'offrir au moins une interface pour les AISP et PISP pour accéder aux comptes demeure. Cette décision tient au fait que la DSP 2 interdit désormais à ces acteurs l'accès direct aux comptes de leur client sans identification préalable. Toutefois, afin de répondre aux préoccupations de certains acteurs, les RTS précisent à présent que les établissements teneurs de compte proposant une interface dédiée doivent offrir le même niveau de disponibilité et de performance que sur l'interface réservée à leurs propres clients.
Enfin, il faut souligner que l'ABE a fait le choix de la neutralité technologique, en supprimant toute référence aux normes ISO et aux caractéristiques de l'authentification forte pour ne pas entraver les innovations futures. Pour cette raison, l'ABE a préféré édicter des normes à un niveau plus macro en dépit des réclamations pour un certain niveau de détail du fait des enjeux élevés de sécurité.
Notons que le projet final des RTS doit être soumis à la Commission européenne et au Parlement européen. L'ABE se réserve le droit de faire évoluer ces règles dix-huit mois après leur entrée en vigueur.
In fine, si l'on constate que l'arrivée des nouveaux acteurs est saluée par l'ABE, il n'en demeure pas moins que les RTS sont à ce stade encore relativement restrictives.
Voyons à présent si les règles imposées aux banques en termes de secret professionnel, de protection des données personnelles et de sécurité informatique entraînent une distorsion de la concurrence au détriment des banques.
II. Secret professionnel, protection des données personnelles, sécurité informatique : des éléments qui pèsent sur l'agilité des banques ?
Le secret professionnel
Le Code monétaire et financier[15] (CMF) impose aux établissements de crédit, de paiement et sociétés de financement un secret professionnel aux termes duquel ils ne peuvent communiquer des informations couvertes par un tel secret qu'au cas par cas et uniquement lorsque les personnes concernées leur ont expressément permis de le faire. À titre de dérogation, ces établissements peuvent communiquer de telles informations sans obtenir le consentement préalable des personnes concernées notamment aux personnes avec lesquelles ils négocient, concluent ou exécutent des contrats de prestations de services conclus avec un tiers en vue de lui confier des fonctions opérationnelles importantes. Cette exception n'a pas pour effet de modifier la nature et le régime auquel sont soumises les informations communiquées qui demeurent soumises au secret professionnel.
À ce stade, l'ACPR ne s'est pas penchée sur la question en matière d'agrégation de données. Néanmoins, elle a noté que « la protection des données sensibles et personnelles, de même que le respect du secret bancaire, [est] particulièrement difficiles au sein d'infrastructures mutualisées et potentiellement accessibles aux régulateurs locaux », et elle a identifié certaines bonnes pratiques pour garantir la sécurité et la confidentialité des données communiquées dans un nuage informatique[16]. De même, l'ACPR a également insisté sur le fait que « le risque opérationnel lié aux insuffisances des SI est désormais pris en compte par Solvabilité II ; il est potentiellement accru avec le Big Data et notamment lorsque les activités sont externalisées dans unCloud »[17]. Ces bonnes pratiques « s'inscrivent dans le cadre plus large défini pour le contrôle des prestations essentielles externalisées ». Aussi, même si la prestation n'est pas une prestation externalisée essentielle ou importante, il convient de s'assurer du respect de l'esprit du CMF. Notons également que de manière analogue aux établissements de crédit et de financement, les établissements de paiement sont également soumis au secret professionnel[18].
Le respect de ces règles s'impose-t-il aux PSP tiers ? De prime abord, la réponse à cette question réside dans le fait que les règles prudentielles ont vocation à s'appliquer aux opérations emportant la mise à disposition de fonds. Les PSP tiers ne procédant pas à de telles opérations, leurs obligations sont de fait allégées, ce qui ne va pas sans créer un certain émoi.
Le Président de l'ACPR ne s'est d'ailleurs pas mépris sur le sujet en déclarant en novembre dernier que son « ambition est d'être une place d'excellence tant par le niveau de sécurité que d'adaptation des réglementations, susceptible à ce titre d'attirer les meilleures initiatives en matière de FinTech et d'innovationfinancière »[19]. Conscient des risques liés à la rupture digitale[20], tous s'accordent sur le fait que « les établissements financiers comme les régulateurs et les superviseurs doivent s'adapter à la rupture digitale qui accompagne l'émergence des FinTechs, et prendre la mesure des enjeux devenus prégnants avec l'émergence des FinTechs : automatisation des processus et services financiers, usage croissant des algorithmes de calcul ».
À ce stade, l'ABE a publié la version finale du projet de RTS qui tente d'opérer un difficile équilibre entre les parties, et dont seule l'application nous permettra de savoir s'il est efficient. De son côté, la CNIL a mis en place un pack conformité pour le secteur des assurances, mais celui concernant les banques est toujours en cours de discussion.
Pour finir ce tour d'horizons, à ce jour, l'ACPR s'est bornée à émettre une seule recommandation 2016-R-01, effective en octobre 2017, sur l'usage des médias sociaux à des fins commerciales.
La régulation de la protection des données personnelles
En matière de protection des données personnelles, le rapport du Conseil d'État[21] sur le numérique et les droits fondamentaux était en 2014 prometteur sur le sujet. Le Conseil d'État avait souligné le fait que le cadre juridique applicable jusque-là à la protection des données personnelles avait été mis en place alors qu'aucun acteur n'avait conscience de la valeur économique de celles-ci et alors que la circulation de ces données restait limitée.
Pour limiter les risques juridiques liés aux usages actuels, tout en tentant de ne pas entraver le développement des innovations liées, le Conseil d'état avait proposé de :
maintenir dans le Règlement européen sur la protection des données (RGPD) la liberté de réutilisation statistique des données personnelles, indépendamment de la finalité initiale de leur traitement, et dès lors que ces données sont anonymisées[22] ; créer, pour les catégories de traitement présentant un risque plus élevé, une obligation de certification périodique par un organisme tiers indépendant et accrédité par une autorité de contrôle[23] ; codifier la jurisprudence relative à la nullité des transactions portant sur des fichiers non autorisés ou non déclarés à la CNIL[24] ; mettre en place des outils de régulation de l'utilisation d'algorithmes de sorte à pouvoir détecter les discriminations illicites[25].
Des propositions loin d'être dénuées d'intérêt au regard des enjeux des PSP tiers. On peut considérer par ailleurs que le RGPD quant à lui, utilise le privacy by design pour couvrir à la fois l'anonymisation des données et la mise en place des outils de régulation d'algorithmes pour détecter les discriminations illicites. La question reste ouverte néanmoins. Quant à la jurisprudence relative à la nullité des transactions portant sur des fichiers non autorisés, on peut espérer que les sanctions prévues par le RGPD sont suffisantes pour bannir ce type de procédés ab initio, mais là aussi le RGPD ne reprend pas in concreto les propositions du Conseil d'État.
Quoi qu'il soit, il est essentiel de noter que jusqu'à présent, l'article 17 de la Directive 95/46/CE s'est borné à imposer au responsable du traitement de nommer un sous-traitant présentant les mêmes garanties de conformité aux lois nationales transposées sur la base de la Directive 95/46/CE que celles applicables au responsable du traitement. Pour ce faire, un engagement écrit précisant que le sous-traitant devait agir uniquement sur instruction écrite du responsable du traitement et qu'il s'engageait à assurer la sécurité des données à caractère personnel était suffisant.
Le RGPD fait évoluer ce point en étendant le champ d'application de la protection des données personnelles. Le considérant 81 du RGPD reconnaît ainsi le rôle des sous-traitants dans la protection des données à caractère personnel. Les sous-traitants ne peuvent plus arguer de l'inapplicabilité des règles à leur égard puisque le responsable de traitement doit utiliser uniquement des sous-traitants fournissant des garanties suffisantes, en particulier en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en oeuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement.
En effet, l'article 28 du RGPD dispose que le sous-traitant se doit de mettre en place des mesures de sécurité et organisationnelles pour protéger les données à caractère personnel contre tout incident ou destruction illégale, perte, altération, divulgation non autorisée ou accès. En fonction de la nature du traitement, cela peut induire :
le cryptage des données à caractère personnel ;l'examen continu des mesures de sécurité ;des systèmes de redondance et de secours ;des tests de sécurité réguliers.
Voilà qui démontre bien que le sous-traitant est responsable vis-à-vis de ceux dont il traite les données. En plus, le sous-traitant est également soumis au régime des sanctions mis en place par le RGDP.
De toutes évidences, sous l'ère du RGPD, il ne sera plus possible pour les PSP tiers de se positionner en simples sous-traitants, et de se soustraire aux règles de protection des données à caractère personnel. Le RGPD requiert des sous-traitants - y compris des PSP tiers, de développer et de mettre en place un certain nombre de procédures internes et de pratiques pour la protection des données personnelles pour garantir notamment l'anonymisation irréversible des données.
La sécurité informatique
In fine, la DSP 2 soulève aujourd'hui avant toute chose un défi majeur quant à la sécurité des données de paiement : les PSP tiers auront accès aux informations confidentielles des clients et pourront générer des paiements depuis leurs comptes. Il s'agit là d'un risque opérationnel d'autant plus important que la DSP 2 n'impose aucune obligation contractuelle entre les PSP tiers et les banques, et ce sans compter que les dispositions et responsabilités en cas de fraude ne sont pas clairement définies.
D'un point de vue technique, assurer cet accès facilité aux comptes tout en respectant les exigences d'authentification forte représente une difficulté dont les banques devront prendre toute la mesure pour déployer des dispositifs de sécurité complémentaires : évolution des systèmes d'information, renforcement des contrôles et monitoring des transactions - autant d'initiatives opérationnelles à mettre en oeuvre pour se conformer à ces nouvelles dispositions.[26]
Côté PSP tiers, ceux-ci devront au même titre que les banques se conformer aux standards de sécurité bancaires définis par l'ABE. À ce titre, on peut s'interroger sur la capacité des RTS à assurer la sécurité des nouveaux services de paiement et à protéger les parties contre le risque de fraude, notamment au vu de l'exemption prévue par les RTS sur l'analyse de risques.
Il va sans dire que le contenu des orientations de l'ABE risque encore d'évoluer et les normes techniques devront probablement évoluer de manière continue en considération de l'évolution des risques sécuritaires inhérents aux nouveaux services de paiement et prévenir au maximum la réalisation de fraude tout en évitant d'être un frein au développement de ces nouvelles activités.
Autant d'impacts opérationnels pour les banques qui ne doivent pas occulter les enjeux d'évolution de leur offre de service, lesquels se doivent d'ouvrir la voie à une plus forte intégration des services bancaires dans les parcours d'achat et dans les activités de gestion administrative.
DATE-CHARGEMENT: 1 mars 2018
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
450 of 500 DOCUMENTS
Economie Matin
25 juin 2017 04:00 AM GMT
La cybersécurité ne doit plus être vue par les entreprises comme une contrainte
LONGUEUR: 1087 mots
En quelques années, les données personnelles numériques sont devenues le nouvel or noir des cybercriminels. Avec le Règlement Général sur la Protection des Données (RGPD/GDPR), l'Union Européen se dote d'un cadre réglementaire détaillé et solide pour permettre à ses citoyens de reprendre le contrôle sur leurs données numériques. A un an de l'entrée en vigueur du texte, les entreprises ont un travail titanesque devant elles pour se mettre en conformité. Et gare à celles qui ne répondront pas aux exigences du texte car les amendes pourraient être lourdes. Une avancée majeure pour la sécurité et le respect de la vie privée Alors que le Senat américain a récemment autorisé les fournisseurs d'accès américains, Internet et Télécoms, l'utilisation des données personnelles de leurs clients à des fins commerciales, nous pouvons saluer l'initiative de l'Union Européenne de créer un règlement visant à renforcer la protection des données personnelles des citoyens européens.
Dans le contexte actuel du " tout numérique ", il est évidemment important de donner aux utilisateurs la capacité d'avoir pleinement le contrôle de leurs données. Pour les entreprises, le RGPD va également avoir des bénéfices. Elles vont par exemple disposer de processus de partage et de transfert des données simplifiés et sécurisés à travers toute l'Europe. Avec le RGPD, elles vont également adopter un modèle plus réactif face aux failles de données, là où avant elles ne se concentraient sur le sujet que ponctuellement, typiquement à l'approche d'un audit de sécurité. Les entreprises conformes au RGPD gagneront sensiblement en sécurité. Le règlement introduit plus particulièrement deux concepts clés : - La " privacy by default " (protection de la vie privée par défaut) : intègre par exemple l'obligation de portabilité des données (aux autres fournisseurs de services, à n'importe quel moment), la correction et l'effacement des données ou encore l'obligation de consentement du propriétaire des données avant que l'entreprise ne les utilise. - La " privacy by design " (protection de la vie privée dès la conception) impose aux entreprises de réduire au minimum nécessaire le volume de données à caractère personnel collectées et traitées (" data minimization ") de limiter les accès à ces données et de les conserver de manière sécurisée, ou encore d'informer les utilisateurs lorsque les données les concernant sont traitées, voire piratées. L'implémentation de ces deux concepts offre non seulement un gage supplémentaire de qualité et de confiance aux utilisateurs mais elle renforce également la sécurité de ses salariés, de ses prestataires et de ses partenaires. La mise en conformité, un chantier gigantesque Avant d'en tirer les bénéfices - ou à l'inverse de grosses sanctions - les entreprises doivent déjà se mettre en conformité avec le RGPD. Le chemin promet d'être long et laborieux. Selon une étude du cabinet Vanson Bourne, seulement 43% des entreprises ont lancé leur projet de mise en conformité à ce jour, alors que le règlement entre officiellement en vigueur dans un an. Le problème est que le RGPD décrit de nombreuses exigences pour les entreprises en matière de collecte, de gestion et de stockage des données personnelles de leurs employés et de leurs clients, mais il ne fournit pas de directives pour répondre à ces exigences. La cartographie des données, le droit à l'oubli, la portabilité des données, les exigences de notifications de failles ou la demande de consentement pour le traitement de données d'enfants sont encore une fois de bonnes exigences mais cela prend des mois voire des années à mettre en place à l'échelle d'une entreprise. Alors imaginons le travail pour une entreprise internationale avec des filières aux quatre coins du monde. Une seconde étude de Vanson Bourne confirme que 74% des entreprises estiment qu'elles vont faire face à des défis importants pour se mettre en conformité avant la date du 25 mai 2018. Avec le RGPD, quelques problématiques vont également voir le jour. Tout d'abord, les données personnelles ne sont pas seulement utilisées pour le commerce ou le marketing, elles le sont aussi pour la gestion des incidents et l'investigation numérique. Si toutes les données peuvent être facilement supprimées ou modifiées à tout moment, la gestion des incidents et les investigations perdront énormément en efficacité. Eviter les failles c'est une chose, mais elles continueront à arriver, et sans une investigation numérique de qualité, elles continueront à arriver encore plus fréquemment. Le " tout chiffré " posera également de grosses difficultés aux entreprises, car que cela soit pour de la maintenance ou de la gestion d'exploitation, certaines données doivent rester accessibles. L'approche de la sécurité des entreprises ne doit pas reposer uniquement sur la peur de l'amende Mais au-delà de cette difficile mise en conformité, revenons sur notre propos introductif : l'impact de la sanction financière sur la cybersécurité à long terme. En effet, si les entreprises se concentrent sur la peur de l'amende, elles ne verront pas les effets potentiellement bénéfiques du règlement, telles que la circulation plus libre et sécurisée des données à travers l'Europe. L'argent a un vrai pouvoir pour faire évoluer les choses, mais des amendes allant jusqu'à 4% d'un chiffre d'affaires global peuvent sembler excessives pour des entreprises, qui certes y survivraient, mais qui ne l'oublions pas, auront déjà des problématiques importantes à traiter en matière de remédiation et d'image. De ce fait, il est difficile d'imaginer que le régulateur puisse frapper si fort dès le début. Pour que le niveau de sécurité des entreprises progresse vraiment, il faut que les entreprises perçoivent les bénéfices de la sécurité pour leur business. La sécurité doit être un faire-valoir, les entreprises doivent comprendre qu'en augmentant leur niveau de sécurité, leur considération sur des sujets importants pour leurs clients, elles gagnent en image, en confiance vis à vis de leurs clients, avec au final un vrai impact sur leur business. Le RGPD a un travail à faire. Il est important, et malheureusement des amendes sont parfois nécessaires pour marquer les esprits et inciter à avancer. Mais pour que la cybersécurité progresse significativement, le travail du RGPD devrait être combiné avec une sensibilisation sur la sécurité basée sur une approche positive, pour que les entreprises cessent de ne voir la cybersécurité que comme une contrainte.
DATE-CHARGEMENT: 28 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
451 of 500 DOCUMENTS
Le Figaro Online
samedi 24 juin 2017 02:00 PM GMT
Sur le Web, une écrasante majorité de Français se méfie de la surveillance
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 585 mots
ENCART: D'année en année, la confiance des internautes français sur Internet s'étiole et les pousse à des usages prudents, voire méfiants.
Entre Internet et les Français, c'est compliqué. Au temps du coup de foudre et à la douceur des premières années, a succédé celui des doutes et des reproches. Plus d'un internaute français sur deux s'estime ainsi beaucoup plus vigilant sur Internet par rapport aux années précédentes, selon les résultats d'une étude Médiamétrie pour La chaire Valeurs et politiques des informations personnelles de l'IMT(Institut Mines-Télécom). L'exposition de la vie privée ou la médiatisation des vols de données personnelles, comme celui de Yahoo!, ont marqué les esprits de 42% des répondants. L'affaire Snowden (pour 23% des sondés) et des expériences personnelles douloureuses sur Internet (22%) font également partie des raisons de la défiance. Au total, 86% des répondants ont le sentiment d'être épiés sur Internet et 91% souhaiteraient pourtant garder le contrôle de leurs données.
Un sentiment de perte de contrôle
Beaucoup d'internautes Français ont déployé des stratégies de défense. Ils sont ainsi 63% à avoir cherché sur Internet comment paramétrer leurs équipements pour se protéger. 55% ont déjà utilisé un bloqueur de publicité pour améliorer leur confort de navigation et réguler l'intrusion de publicités, qu'ils jugent à 84% inopportunes, même quand elles sont bien ciblées. Mais sur Internet, l'augmentation de la vigilance des Internautes porte surtout sur le paramétrage de leurs comptes: 67% refusent de partager leur géolocalisation, 59% effacent leurs traces de navigation et 45% se livrent au réglage de leurs paramètres de confidentialité sur les réseaux sociaux. Plus surprenant, 20% des internautes Français utilisent la navigation privée ou anonyme, notamment via Tor.
«En 2015, ce qui guidait ce type de comportement était davantage la recherche de confort de navigation. Cela a changé: les Français cherchent aujourd'hui à se protéger et le font pour des raisons de manque de confiance», explique au Figaro Claire Levallois-Barth, juriste de formation et coordinatrice de la chaire Valeurs et politiques des informations personnelles de l'IMT.
Une volonté de régulation
Les entreprises dont le modèle se fonde sur l'exploitation des données personnelles vont devoir affiner leurs stratégies de profilage. Près d'un tiers des internautes français n'acceptent de donner leurs informations que parce qu'on les exige en contrepartie de la gratuité d'un service. Seuls 12% sont prêts à laisser leurs données sans contrepartie. Surtout, les internautes différencient les contextes dans lesquels s'effectue la circulation de leurs données. Ainsi, les goûts et les centres d'intérêts, mais aussi les habitudes de navigation se partagent plus facilement sur les réseaux sociaux, mais pas les papiers d'identité - qu'ils sont 98% à refuser de partager à des acteurs comme Facebook ou Twitter. Les données figurant dans une pièce d'identité sont plus volontiers partagées avec les sites de l'Etat ou des banques.
Le résultat de l'étude pourrait être un plaidoyer pour les mesures proposées parle nouveau règlement européen de protection des données personnelles (RGPD). En effet, 89% des internautes français reconnaissent qu'ils ne lisent peu ou pas du tout les conditions générales d'utilisation (CGU) des services sur Internet. Ils considèrent que celles-ci sont trop longues (80%), non modulables (54%) et peu claires (42%). C'est justement l'un des enjeux du RGPD que de forcer les fournisseurs de services à rendre claires, explicites et libres les informations relatives aux politiques de confidentialité.
DATE-CHARGEMENT: 24 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
452 of 500 DOCUMENTS
Le Figaro Online
mardi 20 juin 2017 07:12 PM GMT
Face à l'hégémonie des géants de la tech, l'Europe durcit la régulation de l'économie des données
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 659 mots
ENCART: Deux textes de loi vont redistribuer les cartes de l'économie numérique, à l'heure où la vie privée devient un enjeu de souveraineté politique.
Les sourires étaient parfois crispés et chaque mot savamment pesé, lors des prises de parole du DataSummit à Dublin. Durant cet événement organisé la semaine dernière par le gouvernement irlandais, des dirigeants de Facebook, Google, Microsoft ou IBM sont venus discuter du grand chambardement des données personnelles qui s'annonce en Europe.
Sous les noms de RGPD (pour Règlement européen sur la protection des données) ou encore ePrivacy, le Vieux Continent a entrepris un imposant chantier de régulation de l'économie mondiale des données. Les deux textes devront d'ici à mai 2018 être respectés par la plupart des acteurs d'un marché qui pèse 10 % du PIB mondial et représente quelque 7,8 trilliards de dollars, selon un rapport de McKinsey.
Si l'Europe se met à défendre avec une soudaine vigueur la protection des données personnelles, ce n'est pas seulement au nom du principe de droit au respect de la vie privée, cher à ses valeurs et à son histoire. Cette notion, reconnue dans la Convention européenne des droits de l'homme dès 1950, a pourtant subi de nombreux assauts de la part des entreprises ou, plus récemment, des gouvernements. Le nouvel arsenal législatif de l'UE montre que l'heure n'est plus aux débats idéologiques. La vie privée devient un enjeu de souveraineté politique et un ressort crucial pour peser sur l'économie mondiale, très largement dominée par des entreprises américaines.
Une mesure antitrust?
Le RGPD et le règlement ePrivacy sont les premiers textes au monde à mettre de tels ralentisseurs dans la course effrénée à l'exploitation des données, où les Gafam (Google, Apple, Facebook, Amazon et Microsoft) disposent d'une longueur d'avance quasiment irrattrapable. Ces entreprises ont en effet prospéré sur un marchéqui a mis du temps à être encadré par des contraintes réglementaires à même d'éviter les abus de position dominante. La directive de 1995, qui a longtemps fait foi concernant l'économie numérique, a été pensée avant la généralisation d'Internet et l'avènement de la «data economy». De l'avis de plusieurs juristes, elle contient des failles qui ont permis à des entreprises comme Google ou Twitter de se soustraire au droit européen. L'UE constate aujourd'hui le résultat de cette imprécision: parmi les entreprises leaders du secteur de l'économie des données, aucune n'est européenne et aucune ne peut le devenir face à l'oligopole qui s'est entre-temps constitué.
L'UE doit aussi faire face à un modèle d'exploitation des données de ses citoyens fondé sur une conception américaine de la vie privée. Selon le sociologue Benjamin Loveluck, le modèle des grandes entreprises de la tech consiste à «dissimuler le coût réel d'un produit ou d'un service». Pour utiliser Facebook gratuitement, le consommateur est obligé d'accepter de lui laisser ses données, revendues ensuite à des tiers sans qu'il ne touche la moindre contrepartie ou en soit clairement informé. Sauf qu'en France et en Europe, cette conception n'est pas en phase avec le droit à la vie privée. «Le droit américain rattache la privacy à la propriété, alors que l'Europe en fait un droit de la personne. Autrement dit, la privacy n'est qu'une extension de la propriété privée et est dans le commerce, quand elle est en Europe, non négociable et non cessible», explique l'avocat Olivier Itéanu dans son ouvrage Quand le digital défie l'État de droit (Eyrolles, 2016).
Depuis 2016, le ton s'est durci du côté de l'Europe, qui reconnaît progressivement que la vie privée est aussi affaire de compétition. Fin 2016, la commissaire européenne à la Concurrence, Margrethe Vestager, déclarait à Bloomberg que Facebook était dans une zone grise «entre les enjeux de privacy et de compétition». L'agence antitrust de l'Allemagne enquête depuis mars sur les pratiques anticoncurrentielles de Facebook. Les amendes infligées par le RGPD (jusqu'à 4 % du chiffre d'affaires mondial et 20 millions d'euros d'amende) témoignent de cette nouvelle ambition.
DATE-CHARGEMENT: 20 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
453 of 500 DOCUMENTS
Le Figaro
Mardi 20 Juin 2017
Face à l'hégémonie des géants de la tech, l'Europe durcit la régulation de l'économie des don nées;
Deux textes de loi vont redistribuer les cartes de l'économie numérique.
AUTEUR: Braun, Elisa
RUBRIQUE: ÉCONOMIE; Pg. 25 N° 22662
LONGUEUR: 663 words
INTERNET
Les sourires étaient parfois crispés et chaque mot savamment pesé, lors des prises de parole du DataSummit à Dublin. Durant cet événement organisé la semaine dernière par le gouvernement irlandais, des dirigeants de Facebook, Google, Microsoft ou IBM sont venus discuter du grand chambardement des données personnelles qui s'annonce en Europe.
Sous les noms de RGPD (pour Règlement européen sur la protection des données) ou encore ePrivacy, le Vieux Continent a entrepris un imposant chantier de régulation de l'économie mondiale des données. Les deux textes devront d'ici à mai 2018 être respectés par la plupart des acteurs d'un marché qui pèse 10 % du PIB mondial et représente quelque 7,8 trilliards de dollars, selon un rapport de McKinsey.
Si l'Europe se met à défendre avec une soudaine vigueur la protection des données personnelles, ce n'est pas seulement au nom du principe de droit au respect de la vie privée, cher à ses valeurs et à son histoire. Cette notion, reconnue dans la Constitution européenne des droits de l'homme dès 1950, a pourtant subi de nombreux assauts de la part des entreprises ou, plus récemment, des gouvernements. Le nouvel arsenal législatif de l'UE montre que l'heure n'est plus aux débats idéologiques. La vie privée devient un enjeu de souveraineté politique et un ressort crucial pour peser sur l'économie mondiale, très largement dominée par des entreprises américaines.
Une mesure antitrust ?
Le RGPD et le règlement ePrivacy sont les premiers textes au monde à mettre de tels ralentisseurs dans la course effrénée à l'exploitation des données, où les Gafam (Google, Apple, Facebook, Amazon et Microsoft) disposent d'une longueur d'avance quasiment irrattrapable. Ces entreprises ont en effet prospéré sur un marché qui a mis du temps à être encadré par des contraintes réglementaires à même d'éviter les abus de position dominante. La directive de 1995, qui a longtemps fait foi concernant l'économie numérique, a été pensée avant la généralisation d'Internet et l'avènement de la « data economy ». De l'avis de plusieurs juristes, elle contient des failles qui ont permis à des entreprises comme Google ou Twitter de se soustraire au droit européen. L'UE constate aujourd'hui le résultat de cette imprécision : parmi les entreprises leaders du secteur de l'économie des données, aucune n'est européenne et aucune ne peut le devenir face à l'oligopole qui s'est entre-temps constitué.
L'UE doit aussi faire face à un modèle d'exploitation des données de ses citoyens fondé sur une conception américaine de la vie privée. Selon le sociologue Benjamin Loveluck, le modèle des grandes entreprises de la tech consiste à « dissimuler le coût réel d'un produit ou d'un service ». Pour utiliser Facebook gratuitement, le consommateur est obligé d'accepter de lui laisser ses données, revendues ensuite à des tiers sans qu'il ne touche la moindre contrepartie ou en soit clairement informé. Sauf qu'en France et en Europe, cette conception n'est pas en phase avec le droit à la vie privée. « Le droit américain rattache la privacy à la propriété, alors que l'Europe en fait un droit de la personne. Autrement dit, la privacy n'est qu'une extension de la propriété privée et est dans le commerce, quand elle est en Europe, non négociable et non cessible », explique l'avocat Olivier Itéanu dans son ouvrage Quand le digital défie l'État de droit (Eyrolles, 2016).
Depuis 2016, le ton s'est durci du côté de l'Europe, qui reconnaît progressivement que la vie privée est aussi affaire de compétition. Fin 2016, la commissaire européenne à la Concurrence, Margrethe Vestager, déclarait à Bloomberg que Facebook était dans une zone grise « entre les enjeux de privacy et de compétition ». L'agence antitrust de l'Allemagne enquête depuis mars sur les pratiques anticoncurrentielles de Facebook. Les amendes infligées par le RGPD (jusqu'à 4 % du chiffre d'affaires mondial et 20 millions d'euros d'amende) témoignent de cette nouvelle ambition.
DATE-CHARGEMENT: 19 Juin 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: ECO_201724_donnee_personnelles_V2.pdf
Le premier ministre irlandais, Leo Varadkar.
TOLGA AKMEN/AFP
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
454 of 500 DOCUMENTS
Le Figaro
Mardi 20 Juin 2017
L'Irlande se rêve en capitale de la Data
AUTEUR: Braun, Elisa
RUBRIQUE: ÉCONOMIE; Pg. 25 N° 22662
LONGUEUR: 507 words
Deux jours après son élection par le Parlement irlandais, le nouveau premier ministre, Leo Varadkar, a offert sa première visite officielle aux cadres les plus puissants de Google, Facebook, Microsoft ou IBM - tous présents lors du Data Summit à Dublin. Pour le nouveau « taoiseach », cet événement réunissait des acteurs stratégiques pour l'avenir du pays. Dans le cadre de la nouvelle réglementation européenne sur les données personnelles (RGPD), l'Irlande est vouée à devenir un acteur puissant de l'économie des données.
Selon le texte, chaque entreprise devra nommer d'ici un an un représentant, délégué à la protection des données (DPO ou Digital Privacy Officer) dans un des pays de l'UE. Facebook, Microsoft, Dropbox ou Airbnb ont déjà fait savoir que leur DPO serait nommé en Irlande. Si un consommateur s'estime victime d'un litige avec Facebook, il pourra transmettre ses griefs à la Cnil française, qui contactera son homologue irlandaise. C'est elle qui assurera ensuite la liaison avec le DPO du réseau social.
Pour faire face à ces nouvelles missions, le régulateur irlandais a multiplié son budget par quatre et renforcé ses effectifs d'une trentaine de collaborateurs. Il a également fait appel à un grand cabinet d'audit pour l'aider à se réorganiser en interne. « Nous devenons une autorité de supervision, mais, avec le RGPD, les autres autorités peuvent s'offrir une assistance mutuelle et nous seconder dans les travaux d'investigation que nous pourrons conduire», estime auprès du Figaro Helen Dixon, présidente de l'autorité de protection des données personnelles irlandaises. Qui n'exclut toutefois pas de possibles « frictions » entre autorités nationales.
L'île aux trésors
L'Irlande n'a pas eu besoin du RGPD pour devenir le chouchou des Gafam. « Il s'agit de l'un des rares pays anglophones du marché européen, disposant d'une population très jeune et éduquée, poursuit Helen Dixon. D'autres mentionnent aussi un régime de taxation avantageux et le fait que ces entreprises ont leurs centres opérationnels installés ici depuis longtemps. » En août dernier, la Commission européenne a ordonné à Apple de rembourser à l'Irlande 13 milliards d'euros d'aides d'État, jugées illégales.
Pour des acteurs comme Microsoft, le climat irlandais se montre aussi propice aux besoins des data centers. Ces locaux gigantesques stockent les données dans des serveurs qui doivent être en permanence refroidis. « Ici, ils peuvent fonctionner sans climatisation grâce à la météo fraîche et pluvieuse », explique une source proche de l'entreprise, qui fait construire près de Dublin un gigantesque entrepôt. L'Irlande investirait considérablement pour adapter ses infrastructures aux besoins électriques et de cybersécurité de ces acteurs. Apple aurait aussi des projets d'investissements de plusieurs centaines de millions d'euros. « Je pense que nous pouvons être ambitieux. L'Irlande est déjà et va continuer à être la grande capitale de l'économie de données », estime Dara Murphy, ministre irlandais des Affaires européennes. E. BR.
DATE-CHARGEMENT: 19 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
455 of 500 DOCUMENTS
Le Figaro Économie
Mardi 20 Juin 2017
Face à l'hégémonie des géants de la tech, l'Europe durcit la régulation de l'économie des don nées
AUTEUR: Braun, Elisa
RUBRIQUE: ÉCONOMIE; Pg. 25 N° 22662
LONGUEUR: 664 mots
INTERNET Les sourires étaient parfois crispés et chaque mot savamment pesé, lors des prises de parole du Data Summit à Dublin. Durant cet événement organisé la semaine dernière par le gouvernement irlandais, des dirigeants de Facebook, Google, Microsoft ou IBM sont venus discuter du grand chambardement des données personnelles qui s'annonce en Europe. Sous les noms de RGPD (pour Règlement européen sur la protection des données) ou encore e Privacy, le Vieux Continent a entrepris un imposant chantier de régulation de l'économie mondiale des données. Les deux textes devront d'ici à mai 2018 être respectés par la plupart des acteurs d'un marché qui pèse 10 % du PIB mondial et représente quelque 7,8 trilliards de dollars, selon un rapport de Mc Kinsey.
Si l'Europe se met à défendre avec une soudaine vigueur la protection des données personnelles, ce n'est pas seulement au nom du principe de droit au respect de la vie privée, cher à ses valeurs et à son histoire. Cette notion, reconnue dans la Constitution européenne des droits de l'homme dès 1950, a pourtant subi de nombreux assauts de la part des entreprises ou, plus récemment, des gouvernements. Le nouvel arsenal législatif de l'UE montre que l'heure n'est plus aux débats idéologiques. La vie privée devient un enjeu de souveraineté politique et un ressort crucial pour peser sur l'économie mondiale, très largement dominée par des entreprises américaines.
Une mesure antitrust ?
Le RGPD et le règlement e Privacy sont les premiers textes au monde à mettre de tels ralentisseurs dans la course effrénée à l'exploitation des données, où les Gafam (Google, Apple, Facebook, Amazon et Microsoft) disposent d'une longueur d'avance quasiment irrattrapable. Ces entreprises ont en effet prospéré sur un marché qui a mis du temps à être encadré par des contraintes réglementaires à même d'éviter les abus de position dominante. La directive de 1995, qui a longtemps fait foi concernant l'économie numérique, a été pensée avant la généralisation d'Internet et l'avènement de la « data economy ». De l'avis de plusieurs juristes, elle contient des failles qui ont permis à des entreprises comme Google ou Twitter de se soustraire au droit européen. L'UE constate aujourd'hui le résultat de cette imprécision : parmi les entreprises leaders du secteur de l'économie des données, aucune n'est européenne et aucune ne peut le devenir face à l'oligopole qui s'est entre-temps constitué.L'UE doit aussi faire face à un modèle d'exploitation des données de ses citoyens fondé sur une conception américaine de la vie privée. Selon le sociologue Benjamin Loveluck, le modèle des grandes entreprises de la tech consiste à « dissimuler le coût réel d'un produit ou d'un service ». Pour utiliser Facebook gratuitement, le consommateur est obligé d'accepter de lui laisser ses données, revendues ensuite à des tiers sans qu'il ne touche la moindre contrepartie ou en soit clairement informé. Sauf qu'en France et en Europe, cette conception n'est pas en phase avec le droit à la vie privée. « Le droit américain rattache la privacy à la propriété, alors que l'Europe en fait un droit de la personne. Autrement dit, la privacy n'est qu'une extension de la propriété privée et est dans le commerce, quand elle est en Europe, non négociable et non cessible », explique l'avocat Olivier Itéanu dans son ouvrage Quand le digital défie l'État de droit (Eyrolles, 2016). Depuis 2016, le ton s'est durci du côté de l'Europe, qui reconnaît progressivement que la vie privée est aussi affaire de compétition. Fin 2016, la commissaire européenne à la Concurrence, Margrethe Vestager, déclarait à Bloomberg que Facebook était dans une zone grise « entre les enjeux de privacy et de compétition ». L'agence antitrust de l'Allemagne enquête depuis mars sur les pratiques anticoncurrentielles de Facebook. Les amendes infligées par le RGPD (jusqu'à 4 % du chiffre d'affaires mondial et 20 millions d'euros d'amende) témoignent de cette nouvelle ambition.
DATE-CHARGEMENT: 19 Juin 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: ECO_201724_donnee_personnelles_V2.pdf
Le premier ministre irlandais, Leo Varadkar.
TOLGA AKMEN/AFP
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
456 of 500 DOCUMENTS
Le Figaro Économie
Mardi 20 Juin 2017
L'Irlande se rêve en capitale de la Data
AUTEUR: Braun, Elisa
RUBRIQUE: ÉCONOMIE; Pg. 25 N° 22662
LONGUEUR: 507 mots
Deux jours après son élection par le Parlement irlandais, le nouveau premier ministre, Leo Varadkar, a offert sa première visite officielle aux cadres les plus puissants de Google, Facebook, Microsoft ou IBM - tous présents lors du Data Summit à Dublin. Pour le nouveau « taoiseach », cet événement réunissait des acteurs stratégiques pour l'avenir du pays. Dans le cadre de la nouvelle réglementation européenne sur les données personnelles (RGPD), l'Irlande est vouée à devenir un acteur puissant de l'économie des données.Selon le texte, chaque entreprise devra nommer d'ici un an un représentant, délégué à la protection des données (DPO ou Digital Privacy Officer) dans un des pays de l'UE.
Facebook, Microsoft, Dropbox ou Airbnb ont déjà fait savoir que leur DPO serait nommé en Irlande. Si un consommateur s'estime victime d'un litige avec Facebook, il pourra transmettre ses griefs à la Cnil française, qui contactera son homologue irlandaise. C'est elle qui assurera ensuite la liaison avec le DPO du réseau social. Pour faire face à ces nouvelles missions, le régulateur irlandais a multiplié son budget par quatre et renforcé ses effectifs d'une trentaine de collaborateurs. Il a également fait appel à un grand cabinet d'audit pour l'aider à se réorganiser en interne. « Nous devenons une autorité de supervision, mais, avec le RGPD, les autres autorités peuvent s'offrir une assistance mutuelle et nous seconder dans les travaux d'investigation que nous pourrons conduire », estime auprès du Figaro Helen Dixon, présidente de l'autorité de protection des données personnelles irlandaises. Qui n'exclut toutefois pas de possibles « frictions » entre autorités nationales.
L'île aux trésors
L'Irlande n'a pas eu besoin du RGPD pour devenir le chouchou des Gafam. « Il s'agit de l'un des rares pays anglophones du marché européen, disposant d'une population très jeune et éduquée, poursuit Helen Dixon. D'autres mentionnent aussi un régime de taxation avantageux et le fait que ces entreprises ont leurs centres opérationnels installés ici depuis longtemps. » En août dernier, la Commission européenne a ordonné à Apple de rembourser à l'Irlande 13 milliards d'euros d'aides d'État, jugées illégales.Pour des acteurs comme Microsoft, le climat irlandais se montre aussi propice aux besoins des data centers. Ces locaux gigantesques stockent les données dans des serveurs qui doivent être en permanence refroidis. « Ici, ils peuvent fonctionner sans climatisation grâce à la météo fraîche et pluvieuse », explique une source proche de l'entreprise, qui fait construire près de Dublin un gigantesque entrepôt. L'Irlande investirait considérablement pour adapter ses infrastructures aux besoins électriques et de cybersécurité de ces acteurs. Apple aurait aussi des projets d'investissements de plusieurs centaines de millions d'euros. « Je pense que nous pouvons être ambitieux. L'Irlande est déjà et va continuer à être la grande capitale de l'économie de données », estime Dara Murphy, ministre irlandais des Affaires européennes. E. BR.
DATE-CHARGEMENT: 19 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
457 of 500 DOCUMENTS
IT for Business
19 juin 2017
Les baromètres du mois
RUBRIQUE: Pg. 0026, 0027 N° 2218
LONGUEUR: 660 mots
ENCART: Les chiffres marquants
+ de 6
entreprises sur 10 souhaitent utiliser le e-learning dans leur stratégie de formation Source : Callimedia
758 millions
C'est le nombre de cyberattaques lancées en 2016.
1,5 M(EURO)
C'est le montant moyen des pertes financières dues aux cyberattaques en 2016 en France. Source : Pwc
8,4 milliards
C'est le nombre d'objets qui seront connectés dans le monde fin 2017, soit une croissance de 31 % par rapport à 2016. Source : Gartner - 2017
3 sur 4
C'est le pourcentage de projets IoT qui échoueraient. Source : Cisco
Salaires IT
Spécialisée dans la recherche d'emploi en ligne, Jobijoba a mené une étude sur les salaires et les métiers liés au digital. Administrateurs système et réseau, data scientists, développeurs full-stack, community managers et web designers figurent parmi les plus recherchés par les recruteurs avec plus de 500 offres respectives par métier pour le mois d'avril 2017. Pour les salaires, les ingénieurs en cybersécurité et les responsables de la sécurité des systèmes d'information sont les mieux payés, à hauteur de 60 k(EURO) annuels. Source : Jobijoba - 2017
Prestation informatique
Pour rappel, les chiffres donnés sont issus des annonces publiées chaque mois sur le site hitechpros.com. Selon l'éditeur de ce site, 75 % des 3 000 SSII françaises l'utilisent pour l'offre et la demande de prestations informatiques. En mai, le nombre total de demandes de compétences a gagné 10 % à 793, contre 719 en avril. Cette augmentation a surtout profité aux catégories « Nouvelles technologies » avec 291 demandes contre 259 le mois précédent, et à « Systèmes, réseaux, sécurité » à 210 contre 172. Source : HitechPros
RGPD
Menée auprès de 500 décideurs informatiques au Royaume-Uni, en Allemagne, en France et en Amérique du Nord, une étude souligne que 75 % des entreprises, 74 % pour la France, auront des difficultés à être en conformité avec le Règlement général sur la protection des données (RGPD) dans les délais impartis (25 mai 2018). Dans près de la moitié des entreprises, au moins 1 000 fichiers sensibles contenant des informations d'identification personnelle sont accessibles à n'importe quel employé. Source : Varonis
Blockchain
Un baromètre recense les utilisations, projets, pilotes... liés à la Blockchain par secteur d'activité à partir de toutes les sources d'information. Sans surprise, la banque et l'assurance se taillent la part du lion avec plus de la moitié des initiatives recensées pour le premier trimestre de cette année. Suivent le juridique, l'énergie et la santé. Si le nombre de projets demeure modeste pour l'instant, quelques projets émergent dans le secteur public, notamment sur la citoyenneté avec le vote électronique. Source : Sindup - Blockchain Agora
OS mobile
Les derniers chiffres sur la répartition des systèmes d'exploitation installés sur les smartphones confirment la prépondérance d'Android et d'iOS. Les deux représentent quasiment 99 % du marché. Un constat qui pose apparemment question : le 20 avril dernier, Margrethe Vestager, la commissaire européenne à la concurrence, a annoncé avoir envoyé un acte d'accusation, un statement of objections dans le vocabulaire de la Commission, à Google pour des pratiques anticoncurrentielles avec Android. Source : Gartner - mai 2017
Les contrats du mois
Les chiffres marquants 92 %
des professionnels de l'IT considèrent que l'automatisation (conteneurisation, devops...) est vitale pour suivre le rythme des innovations. Source : BMC
297 000
C'est le nombre d'utilisateurs attaqués en 2016 par l'exploitation de vulnérabilités inconnues. Source : Kaspersky
324 M(EURO)
C'est le montant levé par les start-up du numérique françaises au 1er trimestre. Source : eCap Partner - Capgemini Consulting
69 %
des entreprises interrogées ont une solution ITSM (gestion des services informatiques) on premise contre 27 % en SaaS et 4 % en infogérance. Source : Easyvista
60 %
Des entreprises possèdent déjà une infrastructure big data. Source : Umanis
DATE-CHARGEMENT: June 18, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
458 of 500 DOCUMENTS
IT for Business
19 juin 2017
CYBER MENACES anticiper et agir
RUBRIQUE: Pg. 0034, 0035 N° 2218
LONGUEUR: 842 mots
ENCART: Ce vendredi 12 mai, IT for BUSINESS, en partenariat avec le CESIN et le CyAN, réunissait une centaine de décideurs sécurité, au sein des prestigieux salons Hoche, pour faire le point sur les Cyber-Menaces : comment résister, réagir et anticiper.
Avec une cyber-attaque une semaine avant l'événement, touchant l'équipe de campagne du candidat Emmanuel Macron, et l'attaque Wanna-Cry (Ransomware) le jour même, le moins que l'on puisse dire est que cette conférence IT for BUSINESS tombe à point nommé !
Un manque d'anticipation évident
Marc Ayadi, associé en charge des activités Cyber pour l'Europe de l'Ouest et le Maghreb chez EY, partenaire de l'événement, alerte l'audience en ouverture des débats. « 57 % des entreprises ont eu récemment un incident important de cyber sécurité et 89 % n'évaluent pas l'impact financier de chaque infraction significative » annonce t'il en s'appuyant sur les résultats d'une étude menée par le cabinet en 2016. Il ajoute « Plus de 64 % des entreprises n'ont pas de réelle stratégie de veille des cybermenaces ». L'enquête montre un accroissement des vulnérabilités liées au comportement des salariés non sensibilisés aux enjeux de cyber sécurité, à des systèmes obsolètes ou encore des accès sans autorisation.
En effet, les effets dévastateurs d'un ransomware pourraient être évités si les utilisateurs ne cliquaient pas sur des url exotiques et si les systèmes étaient tout simplement à jour ! L'étude EY démontre que les entreprises portent plus leurs investissements sur les dispositifs de protection et beaucoup moins sur les solutions de réaction et d'anticipation. Elles doivent se doter d'une stratégie et de moyens de Cyber Threat Intelligence, supports d'évaluation et d'aide à la décision des équipes sécurité. « 44 % des répondants n'ont pas de SOC » relève Marc Ayadi.
« Un SOC est avant tout une équipe d'experts en sécurité chargée de surveiller, détecter, analyser et qualifier les événements de sécurité. Cette équipe assure le pilotage des réactions appropriées aux incidents avérés de sécurité » enchaine Arnaud Godet, CISO EMEA de la SCOR. Il aborde ensuite les différentes étapes de construction d'un SOC (Design, modèle, build, évaluation) et l'évolution vers les SOC de 3ème
génération qui se basent sur l'analyse comportementale pour remonter des alertes.
Le machine learning au service de la sécurité
Vincent Lerclerc, Directeur du Consulting et de l'avant-vente chez Kaspersky Lab, explique alors comment les plateformes Big Data intégrées permettent d'identifier les signaux faibles et de réagir aux attaques. Au-delà du Big Data, le machine learning apporte cette couche d'apprentissage continu qui permet l'anticipation.
Alain Bouillé, RSSI de la CDC et Président du CESIN, salue les avancées technologiques mais met en lumière les aspects moins vertueux du Big Data en matière de sécurité : un périmètre plus ouvert difficile à contrôler, des datas hétérogènes, une réglementation contraignante...
En effet, des réglementations telles que le RGPD sur les données personnelles sont très impactantes. Garance Mathias, avocat à la Cour, rap-pelle les échéances (25 mai 2018), les sanctions (jusqu'à 4 % du CA) et le manque évident de maturité des entreprises sur le sujet. Du côté de Blackberry, Jean-Philippe Combe insiste alors sur la nécessité de se doter de solutions sécurisées dans l'échange et le partage de l'information.
Le Data Scientist Henri Laude, alimente alors le pont de vue d'Alain Bouillé en rappelant l'apport du Big Data sur tout ce qui tourne autour de l'Intelligence Economique et insiste sur le fait de prendre le sujet sécurité très en amont des projets Data. Pierre Texier, Responsable du centre d'expertise Cybersécurité Fab IoT à la SNCF, explique comme cette « Security By Design » est stratégique au sein du Groupe.
La Sécurité est plus que jamais un sujet tranverse qui implique aussi bien la DSI que les métiers, avec la nécessité d'avoir un sponsoring fort de la Direction Générale.
AUTRES POINTS FORTS DE LA MATINALE
La Gouvernance de la Sécurité Se doter d'équipes pluri-disciplinaires intégrant compétences techniques et métiers, prendre le sujet sécurité très en amont des projets, sensibiliser mais aussi simplifier la vie des utilisateurs, tenir compte des spécificités multiculturelles et des réglementation locales au niveau international... avec Alexandra Bigas (CEFCYS), Mahmoud Denfer (Vallourec), Gilles Berthelot (SNCF), Michel Cazenave (Ministère des affaires étrangères) et Jean Christophe Le Toquin (CyAN)
La Blockchain Olivier Ligneul, CTO d'EDF, explique les enjeux métiers de désintermédiation dans les secteurs bancaires, énergie ou agro-alimentaire, mais prévient des risques d'attaques techniques contre la Blockchain qui pourraient rompre la confiance en cette technologie prometteuse. Il regrette aussi l'aspect « boite noire ».
Les liens PME / Grands comptes Ely de Travieso de la CPME insiste sur la nécessité d'une plus grande coopération entre PME et Grands comptes pour non seulement bénéficier de l'agiltié et de l'innovation des start-ups mais aussi faire monter en compétences les PME en matière de sécurité.
Les atouts des Bugs Bounty Fabrice Epelboin de Yogosha met en relief ce système de place de marché permettant de challenger les hackers sur les audits de sécurité.
DATE-CHARGEMENT: June 18, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
459 of 500 DOCUMENTS
IT for Business
19 juin 2017
Hélène Legras
AUTEUR: Propos recueillis Pierre Landry
RUBRIQUE: Pg. 0028, 0029, 0030, 0031 N° 2218
LONGUEUR: 2168 mots
ENCART: Data Protection Officer d'Areva, vice présidente de l'ADPO
Démarrez au plus tôt votre projet de conformité au RGPD !
L'application du Règlement général sur la protection des données (RGPD) sera effective le 25 mai 2018 avec, en cas de non conformité, des sanctions sans commune mesure avec celles applicables jusqu'à présent. Pour aider les entreprises à s'y préparer, la CNIL propose un parcours en six étapes, dont la première - désigner un pilote - consiste en la nomination d'un DPO (Data Protection Officer, traduit en délégué à la protection des données).
Vous êtes DPO d'Areva. Pouvez-vous nous préciser le contexte de cette récente nomination ?
J'étais correspondant informatique et liberté (CIL) du groupe depuis le 1er mars 2007, donc l'un des premiers CIL nommés en France. J'officiais pour l'ensemble du groupe et de ses filiales - un peu plus d'une centaine désormais -, à l'exception de notre filiale allemande qui devait avoir un représentant local (Datenschutzbeauftragter), dont la désignation était obligatoire. Nous avons décidé d'anticiper les exigences du RGPD en me nommant DPO pour le Groupe Areva à la date du 25 mai 2017, juste un an avant l'entrée en application du règlement. Mettre un pilote dans l'avion est la première des six étapes décrites par la CNIL pour satisfaire aux conditions d'application du RGPD. Cela se veut ainsi un signal fort vis-à-vis de l'organisation interne, mais aussi des autres acteurs externes du RGPD. Cela vise à confirmer la position d'Areva dans sa stratégie de conformité en matière de protection des données personnelles.
HÉLÈNE LEGRAS
· 1982 Licence de droit, Université Paris XIII · 1991-2007 Juriste nouvelles technologies chez Framatome · 1998 Maîtrise de droit, Université Paris II Assas · 2007 CIL mutualisé Groupe Areva · 2016 Vice-présidente de l'ADPO · 2017 DPO Groupe Areva
Que représente la communauté des CIL ? Existe-t-il déjà une communauté des DPO ?
On compte environ 17 500 CIL en France. Et l'IAPP estimait à environ 20 000 la création de postes de DPO. La CNIL pense qu'entre 80 000 et 100 000 DPO devraient être nommés. La communauté des CIL existe au travers d'associations. Par exemple l'AFCDP, Association française des correspondants aux données personnelles, dont j'ai été longtemps administrateur, ou encore l'AFJE, Association française des juristes d'entreprise, du fait que le CIL a souvent un profil de juriste. Des groupes de travail de CIL internationaux existent également.
En janvier 2016, avec l'avocat Alain Bensoussan, nous avons fondé l'ADPO, l'Association des Data Protection Officers, pour d'une part peser sur la définition du rôle et des responsabilités du DPO dans le contexte du RGPD, et d'autre part aider les futurs DPO - qui n'auront pas tous l'expérience d'un CIL - dans l'exercice de leurs responsabilités et dans le séquençage de leurs premières actions. Car le chantier RGPD est d'ampleur. Plus de 50 grandes entreprises, dont les grands groupes du CAC 40, ont déjà adhéré à l'ADPO.
Un CIL est-il systématiquement amené à devenir DPO ? En quoi leurs missions diffèrent-elles ?
La famille des CIL va certes devenir la famille des DPO, mais tous les CIL ne seront pas forcément DPO. La loi n'était pas diserte sur le rôle des CIL. Cela se résumait globalement à « CIL tu es, ton registre tu tiendras. CIL tu es, ton bilan annuel tu feras ». La chance que nous avons eue, en tant que premiers CIL, c'est de pouvoir façonner ce poste. En dehors du travail administratif lié aux demandes d'autorisation ou à la rédaction des documents juridiques, j'ai pour ma travaillent sur ce contrat y ont accès, que les données doivent être détruites à l'issue du contrat, etc.
Y aura-t-il des points d'attention particuliers ?
Oui. D'abord, tout ce qui touche au cloud ou à l'externalisation de certaines fonctions est éventuellement problématique. Vous signez par exemple un contrat avec une société pour de l'hébergement de données en France et cette société va finalement, sans vous prévenir, mettre une partie de ses serveurs en Inde parce que c'est moins cher là-bas. C'est gênant. Car vous êtes sorti du périmètre de confiance. Le problème se pose également si, vos données étant en France, l'administration en est réalisée, toujours pour des raisons économiques, depuis l'Inde, le Maroc ou l'Île Maurice, trois pays réputés pour « faire des prix ».
Ensuite, il convient de maîtriser les flux depuis et vers les pays hors périmètre de confiance aux yeux des autorités de contrôle. Notre filiale kazakhe doit respecter la législation en vigueur en République du Kazakhstan sur les données personnelles traitées dans ce pays. Les entreprises dans le cadre du RGPD seront amenées à mettre en place des Binding Corporate Rules (BCR), règles internes d'entreprise pour assurer la conformité des flux transfrontières de données. La territorialité du RGPD dépend du lieu du traitement. Si par exemple notre filiale américaine traite des données sur le sol français, c'est le RGPD qui s'appliquera.
Comment feront les entreprises ou organisations qui n'ont pas les moyens de créer un poste de DPO ?
L'obligation de nommer un DPO ne concerne pas toutes les entreprises. Trois cas sont prévus : les autorités et organismes publics ; les entreprises dont l'activité de base exige un suivi régulier et systématique à grande échelle des personnes concernées ; enfin celles qui traitent des données sensibles. Le RGPD prévoit que les entreprises puissent faire appel à des DPO mutualisés. Sur le plan des responsabilités qui vont peser sur eux, cela me semble un peu moins évident de mettre en place des contrats de service avec des DPO externes pour les grandes entreprises, car le DPO doit par essence avoir beaucoup plus d'intimité avec l'entreprise, son organisation, sa stratégie et pouvoir, par exemple, procéder à des audits internes.
Il en va différemment des acteurs publics comme les collectivités locales. On pourra très bien avoir des DPO mutualisés dans les mairies. Il me semblerait logique par exemple qu'il n'y ait qu'un seul DPO pour les 20 arrondissements de Paris. Et pourquoi pas un seul DPO pour le Grand Est : on traite à peu près de la même façon les données à Strasbourg et à Colmar. En revanche, il est nécessaire de conserver un facteur de proximité géographique, linguistique, connaissance du droit local, le RGPD indiquant par ailleurs que le DPO doit être facilement joignable.
SE PRÉPARER AU RGPD EN 6 ÉTAPES
Une nouvelle version de la Loi informatique et libertés semble également en préparation. De quelle manière s'articulera-t-elle avec le RGPD ?
Le RGPD est plus près de la BDSG (Bundesdatenschutzgesetz, loi fédérale sur la protection des données) allemande que de la loi française en la matière, ou que d'autres lois nationales, d'ailleurs. Et le texte ne résout pas tout. La CNIL l'a récemment confirmé : une nouvelle version de la Loi informatique et libertés devra être adoptée par le Parlement avant la date butoir du 25 mai 2018 à partir de laquelle les non-conformités au RGPD pourront être sanctionnées. Elle précisera certaines zones de flou, instaurera peut-être une nouvelle catégorie d'entreprises soumise à l'obligation d'un DPO, ... Les obligations légales se cumuleront comme celles issues de la loi pour une économie numérique d'Axelle Lemaire et, pour une multinationale, la prise en compte de toutes les lois locales spécifiques. On comprend dès lors l'intérêt d'une formation de juriste pour exercer le rôle de DPO. À l'ADPO, nous recommandons à toutes les entreprises qui ont à l'époque nommé un CIL de continuer dans la même dynamique et de prendre les devants en nommant rapidement un DPO. · Propos recueillis par Pierre Landry part mis l'emphase sur la pédagogie, sur la formation et la sensibilisation. Il fallait expliquer aux opérationnels ce qu'était une donnée personnelle, une donnée sensible ou une donnée à caractère discriminatoire...
La mission du DPO est toute autre. C'est une mission de construction, de coordination, de contrôle de la stratégie de protection des données au sein de l'entreprise. Il va devoir mettre en place des procédures, éventuellement mener des études d'impact, notifier des violations de données personnelles, etc. Ce sont beaucoup de missions et les responsabilités correspondantes. Certains CIL ne souhaiteront pas assumer ces responsabilités ou estimeront que leur entreprise ne leur donne pas les moyens suffisants pour les assumer. Certaines entreprises pourront aussi estimer que leur CIL n'est pas la bonne personne pour devenir DPO.
Quels sont les critères de choix d'un DPO ?
Les CIL actuels sont pour un tiers des juristes, pour un tiers des informaticiens ou des RSSI, et un dernier tiers un « melting pot » de gestionnaires de risques, d'auditeurs, de responsables commerciaux, d'anciennes assistantes de direction, d'avocats et de CIL externes. Le RGPD ne précise pas les caractéristiques intrinsèques d'un DPO, mais il sera associé de manière appropriée et en temps utile à toutes les questions touchant à la protection des données personnelles. Il doit être proche de l'organe de direction de l'entreprise car il doit contrôler la conformité de son organisme qui est responsable pénalement de cette « accountability ». Il faut par exemple qu'il ait les moyens de déclencher une étude d'impact, voire un audit interne. Ce positionnement élevé est aussi justifié par un aspect business et les nouveaux niveaux de sanction applicables en cas de manquement, de même que par les risques sur l'image de marque. Le RGPD stipule également la nécessité d'éviter les conflits d'intérêt. En la matière, le DSI est amené à mettre en oeuvre des traitements informatiques, donc il pourrait y avoir conflit d'intérêt car on ne peut être « juge et partie ». D'un autre côté, le RGPD étant très axé sur la sécurité informatique, un DSI ou un RSSI pourrait ressentir une certaine légitimité à être DPO. C'est au responsable de traitement de décider. Le DPO doit montrer un savoir-être, il se doit d'être communicant, aimer les relations humaines et ... savoir rester zen face à certaines situations qui ne sont pas toujours simples à gérer.
« Devant l'ampleur du risque et des sanctions éventuelles, le DPO doit être rattaché au plus haut de la hiérarchie de l'entreprise »
Parle-t-on uniquement de données personnelles ou toutes les données de l'entreprise sont-elles concernées ?
Si le RGPD mentionne explicitement les données personnelles, le titre de DPO ne le précise pas. Un DPO est donc potentiellement responsable de toutes les données de l'entreprise, avec l'aide des autres experts de l'entreprise. Si les hackers s'intéressaient aux données industrielles, les données personnelles sont l'or noir du 21e siècle et sont la cible des ransomwares qui exigent des rançons pour restituer aux entreprises leurs données.
Où s'arrêtera la responsabilité du DPO ?
Cela dépendra par exemple du secteur d'activité de l'entreprise et de sa taille. C'est notamment pour cela que nous avons fondé l'ADPO, pour entre autres pouvoir rédiger une lettre de mission du DPO et qu'elle puisse être adaptée suivant l'entreprise pour laquelle il travaille, mais aussi selon son propre cursus. Sur un autre plan, à la lecture du règlement, le DPO ne serait pas tenu pénalement responsable des éventuelles erreurs de son entreprise ou de sa non-conformité au RGPD.
Dans certains cas, le DPO prendra à son compte certaines obligations incombant au titre du RGPD au responsable de traitement, par exemple la notification des violations de données personnelles à la CNIL ou la tenue du registre des traitements. Au sens du RGPD, le DPO a essentiellement une responsabilité de moyens et doit tenir une documentation. Et à ce titre, là où, par exemple, un CIL pouvait se contenter de donner des conseils au téléphone, il lui appartiendra de garder la trace documentée du conseil donné, de la recommandation émise.
Quels seront les premières actions du DPO ?
Pour faciliter l'appréhension du RGPD, la CNIL a défini cinq étapes, après la nomination du DPO qui est la première étape indispensable. Face à l'ampleur du chantier, il s'agit en effet de prioriser les actions, de ne pas chercher à tout faire avant le 25 mai 2018. Le premier travail du DPO sera de cartographier les traitements en cours et de mettre en place une méthodologie d'instauration des procédures nécessaires à la conformité. L'une des priorités est relative à la reconnaissance, au sein du RGPD, de la responsabilité du sous-traitant, pour autant faut-il qu'elle soit prévue dans le contrat de sous-traitance.
Une attention particulière devra donc être portée sur les mentions légales et les clauses des contrats à venir. Les responsables fonctionnels applicatifs (RFA) sont nommés lorsque le responsable de traitement souhaite mettre en place une base de données informatisée. Or les RFA n'ont pas vocation à être responsable des erreurs de leurs éventuels sous-traitants. Le juriste va donc rédiger le contrat ad hoc prévoyant notamment que la collecte des données ne s'effectue que dans le cadre du contrat, que seules les personnes qui
DATE-CHARGEMENT: June 18, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
460 of 500 DOCUMENTS
Le Figaro Online
lundi 19 juin 2017 06:47 PM GMT
L'Irlande se rêve en capitale de la Data
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 504 mots
ENCART: Dans le cadre de la nouvelle réglementation européenne sur les données personnelles, l'Irlande est vouée à devenir un acteur puissant de l'économie des données.
Deux jours après son élection par le Parlement irlandais, le nouveau premier ministre, Leo Varadkar, a offert sa première visite officielle aux cadres les plus puissants de Google, Facebook, Microsoft ou IBM - tous présents lors du Data Summit à Dublin. Pour le nouveau «taoiseach», cet événement réunissait des acteurs stratégiques pour l'avenir du pays. Dans le cadre de la nouvelle réglementation européenne sur les données personnelles (RGPD), l'Irlande est vouée à devenir un acteur puissant de l'économie des données.
Selon le texte, chaque entreprise devra nommer d'ici un an un représentant, délégué à la protection des données (DPO ou Digital Privacy Officer) dans un des pays de l'UE. Facebook, Microsoft, Dropbox ou Airbnb ont déjà fait savoir que leur DPO serait nommé en Irlande. Si un consommateur s'estime victime d'un litige avec Facebook, il pourra transmettre ses griefs à la Cnil française, qui contactera son homologue irlandaise. C'est elle qui assurera ensuite la liaison avec le DPO du réseau social.
Pour faire face à ces nouvelles missions, le régulateur irlandais a multiplié son budget par quatre et renforcé ses effectifs d'une trentaine de collaborateurs. Il a également fait appel à un grand cabinet d'audit pour l'aider à se réorganiser en interne. «Nous devenons une autorité de supervision, mais, avec le RGPD, les autres autorités peuvent s'offrir une assistance mutuelle et nous seconder dans les travaux d'investigation que nous pourrons conduire», estime auprès du Figaro Helen Dixon, présidente de l'autorité de protection des données personnelles irlandaises. Qui n'exclut toutefois pas de possibles «frictions» entre autorités nationales.
L'île aux trésors
L'Irlande n'a pas eu besoin du RGPD pour devenir le chouchou des Gafam. «Il s'agit de l'un des rares pays anglophones du marché européen, disposant d'une population très jeune et éduquée, poursuit Helen Dixon. D'autres mentionnent aussi un régime de taxation avantageux et le fait que ces entreprises ont leurs centres opérationnels installés ici depuis longtemps.» En août dernier, la Commission européenne a ordonné à Apple de rembourser à l'Irlande 13 milliards d'euros d'aides d'État, jugées illégales.
Pour des acteurs comme Microsoft, le climat irlandais se montre aussi propice aux besoins des data centers. Ces locaux gigantesques stockent les données dans des serveurs qui doivent être en permanence refroidis. «Ici, ils peuvent fonctionner sans climatisation grâce à la météo fraîche et pluvieuse», explique une source proche de l'entreprise, qui fait construire près de Dublin un gigantesque entrepôt. L'Irlande investirait considérablement pour adapter ses infrastructures aux besoins électriques et de cybersécurité de ces acteurs. Apple aurait aussi des projets d'investissements de plusieurs centaines de millions d'euros. «Je pense que nous pouvons être ambitieux. L'Irlande est déjà et va continuer à être la grande capitale de l'économie de données», estime Dara Murphy, ministre irlandais des Affaires européennes.
DATE-CHARGEMENT: 19 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
461 of 500 DOCUMENTS
Le Figaro
Lundi 19 Juin 2017
LIVRES IDÉES ELSA TRUJILLO ETRUJILLO@LEFIGARO.FR;
Les Gafam ont détourné l'Internet à leur profit
AUTEUR: Trujillo, Elsa
RUBRIQUE: CHRONIQUES; Pg. 31 N° 22661
LONGUEUR: 508 words
INTERNET
Comment en est-on arrivé là ? Comment est-on passé de l'Internet ouvert libertaire et non lucratif des années 1980 à un univers ultradominé par un oligopole, les fameux Gafam (Google, Apple, Facebook, Amazon et Microsoft) ? Telle est la question posée par l'auteur de l'ouvrage Les Gafam contre l'Internet, Nikos Smyrnaios.
Ce maître de conférences en sciences de l'information et de la communication au Laboratoire d'études et de recherches appliquées en sciences sociales (Lerass) décrit comment la dérégulation des réseaux et la financiarisation de l'Internet menées tout au long des années 1990 et 2000, puis la culture californienne de la start-up « cool », qui a imposé au public une nouvelle forme de socialisation numérique, ont conduit à la privatisation de l'Internet au profit d'un oligopole.
Ce dernier a développé de nouveaux usages, aspiré la grande majorité de l'audience avant de transformer cette audience en machine à cash.
Nikos Smyrnaios estime que « cet oligopole agit aujourd'hui à l'encontre de l'intérêt général. Il implique un contrôle incommensurable sur les pratiques quotidiennes de tout un chacun et sur le fonctionnement de secteurs entiers de l'économie auparavant autonomes. Les médias par exemple en sont devenus totalement dépendants pour accéder à leur public ». Un tel oligopole questionne en fin de compte le fonctionnement de l'espace public.
L'auteur développe la thèse selon laquelle, dans l'économie du futur, les segments les plus stratégiques seront ceux de l'intermédiation informationnelle. Ce qu'on appelle aussi l'infomédiation. Les Gafam, qui profitent d'un énorme effet de réseau, sont aujourd'hui en mesure d'absorber ce marché, voire de devenir eux-mêmes le marché.
La difficile régulation du système
Aujourd'hui, les pouvoirs publics et les concurrents prennent conscience de cet enjeu et se posent la question de la régulation a posteriori du pouvoir de marché exercé par ces géants américains... L'auteur se montre assez pessimiste sur ce volet.
Il rappelle que le passé enseigne combien il est difficile d'imposer une régulation et que même le règlement général pour la protection des données personnelles (RGPD) européen, qui devrait entrer en pratique en mai 2018, a été tellement amendé par les lobbies qu'il laisse des trous béants dans la régulation. En revanche, l'auteur espère que la réaction viendra de la société civile et des internautes eux-mêmes, qui peuvent arbitrer entre la protection de leur vie privée et leurs usages et ont massivement adopté les logiciels de blocage de publicité.
La thèse développée par l'auteur est que « l'enjeu de cette prise de conscience est important et se situe aussi bien au niveau de l'État que de la société civile et des utilisateurs individuels. Il faut dès à présent commencer à réfléchir à nos propres pratiques. Utiliser ces services a un coût, qu'il s'agisse de l'exploitation de données personnelles ou du peu d'autonomie dont nous disposons désormais dans notre recherche d'informations ».
Nikos smyrnaios
Les Gafam contre l'Internet INA
DATE-CHARGEMENT: 18 Juin 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Nikos Smyrnaios
DR
esperluetteok.pdf
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
462 of 500 DOCUMENTS
Le Figaro Économie
Lundi 19 Juin 2017
LIVRES IDÉES ELSA TRUJILLO ETRUJILLO@LEFIGARO.FR;
Les Gafam ont détourné l'Internet à leur profit
AUTEUR: Trujillo, Elsa
RUBRIQUE: CHRONIQUES; Pg. 31 N° 22661
LONGUEUR: 508 mots
INTERNET Comment en est-on arrivé là ? Comment est-on passé de l'Internet ouvert libertaire et non lucratif des années 1980 à un univers ultradominé par un oligopole, les fameux Gafam (Google, Apple, Facebook, Amazon et Microsoft) ? Telle est la question posée par l'auteur de l'ouvrage Les Gafam contre l'Internet, Nikos Smyrnaios.
Ce maître de conférences en sciences de l'information et de la communication au Laboratoire d'études et de recherches appliquées en sciences sociales (Lerass) décrit comment la dérégulation des réseaux et la financiarisation de l'Internet menées tout au long des années 1990 et 2000, puis la culture californienne de la start-up « cool », qui a imposé au public une nouvelle forme de socialisation numérique, ont conduit à la privatisation de l'Internet au profit d'un oligopole.Ce dernier a développé de nouveaux usages, aspiré la grande majorité de l'audience avant de transformer cette audience en machine à cash.Nikos Smyrnaios estime que « cet oligopole agit aujourd'hui à l'encontre de l'intérêt général. Il implique un contrôle incommensurable sur les pratiques quotidiennes de tout un chacun et sur le fonctionnement de secteurs entiers de l'économie auparavant autonomes. Les médias par exemple en sont devenus totalement dépendants pour accéder à leur public ». Un tel oligopole questionne en fin de compte le fonctionnement de l'espace public.L'auteur développe la thèse selon laquelle, dans l'économie du futur, les segments les plus stratégiques seront ceux de l'intermédiation informationnelle. Ce qu'on appelle aussi l'infomédiation. Les Gafam, qui profitent d'un énorme effet de réseau, sont aujourd'hui en mesure d'absorber ce marché, voire de devenir eux-mêmes le marché.
La difficile régulation du système
Aujourd'hui, les pouvoirs publics et les concurrents prennent conscience de cet enjeu et se posent la question de la régulation a posteriori du pouvoir de marché exercé par ces géants américains... L'auteur se montre assez pessimiste sur ce volet.Il rappelle que le passé enseigne combien il est difficile d'imposer une régulation et que même le règlement général pour la protection des données personnelles (RGPD) européen, qui devrait entrer en pratique en mai 2018, a été tellement amendé par les lobbies qu'il laisse des trous béants dans la régulation. En revanche, l'auteur espère que la réaction viendra de la société civile et des internautes eux-mêmes, qui peuvent arbitrer entre la protection de leur vie privée et leurs usages et ont massivement adopté les logiciels de blocage de publicité.La thèse développée par l'auteur est que « l'enjeu de cette prise de conscience est important et se situe aussi bien au niveau de l'État que de la société civile et des utilisateurs individuels. Il faut dès à présent commencer à réfléchir à nos propres pratiques. Utiliser ces services a un coût, qu'il s'agisse de l'exploitation de données personnelles ou du peu d'autonomie dont nous disposons désormais dans notre recherche d'informations ».Nikos smyrnaiosLes Gafam contre l'Internet INA
DATE-CHARGEMENT: 18 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
463 of 500 DOCUMENTS
La Tribune.fr
Jeudi 15 Juin 2017 8:40 AM CET
Votre attention, s'il vous plaît !
AUTEUR: Philippe Boyer
RUBRIQUE: OPINIONS; HOMO NUMERICUS
LONGUEUR: 1517 mots
ENCART: Les outils numériques nous sollicitent partout, tout le temps. La question de la perte d'attention serait-elle la nouvelle maladie du siècle ? Par Philippe Boyer, directeur de l'innovation, Foncière des Régions.
Il faut lire Matthiew Crawford. Après s'être fait remarquer en publiant l'énigmatique Eloge du carburateur, livre dans lequel il faisait l'éloge du travail manuel, l'auteur américain, philosophe et mécanicien à la fois, récidivait quelque temps après avec la parution de Contact - Pourquoi nous avons perdu le monde, et comment le retrouver[1]. Dans ce dernier ouvrage, la thématique y était tout autre ; en l'occurrence celle de l'abondance informationnelle sous l'effet du numérique, et sa conséquence directe sur nos cerveaux (en moyenne, les 18-24 ans consultent leur smartphone 82 fois par jour). Pour l'auteur, nous vivons une « crise de l'attention » qui se manifeste par un besoin de stimulation toujours croissant. S'interrogeant sur les raisons de cette fragmentation de notre vie mentale qui nous mettrait ainsi à la merci des exploiteurs de "temps de cerveau disponible", Matthiew Crawford analyse l'impression que nous pouvons tous ressentir de ne plus être tout à fait maître de notre attention. Celle-ci devenant une ressource précieuse et limitée et, de ce fait, difficile à préserver et à défendre face à ceux qui veulent la capter pour mieux la monétiser (on se rappelle les propos de Patrick Le Lay expliquant que son métier consistait à "vendre du temps de cerveau disponible" aux annonceurs.[2]) Des exemples pour s'en convaincre ?
Bien sûr, toutes les formes de publicités destinées à attirer notre attention sur l'ensemble des écrans présents dans nos vies[3] mais aussi la sophistication technologique d'objets de notre quotidien. C'est le cas avec nos voitures équipées de capteurs et d'écrans en tous genres. Ces derniers nous isolent de la route elle-même et attirent notre attention sur d'autres types d'informations plus ou moins importantes selon le moment. Assis au volant - et dans l'attente de l'avènement de la voiture autonome qui nous rendra peut-être notre attention - la route devient ainsi un simple élément de décor et la conduite une expérience abstraite ponctuée de multiples données : emails, conditions de trafic, itinéraires, météo... qui s'affichent en temps réel sur le tableau de bord. Faut-il en déduire que, pour capter pleinement notre attention et nous ancrer dans la réalité, celle d'une relation directe avec la route, il faudrait en revenir à des voitures dépouillées de toutes technologies ? Evidemment non, mais cela n'empêche pas le fait de constater que nous vivons dans un monde de surabondance informationnelle qui capte l'essentiel de notre attention[4]. Multi-tasking De nombreuses études se sont concentrées sur cette crise de l'attention. Toutes ou presque partent du constat que cette "infobésité" rend notre cerveau inapte à faire le tri [5]. Outre qu'il devient impossible de synthétiser ce flot ininterrompu de données, l'autre effet pervers est qu'il est de plus en plus difficile de maîtriser le temps consacré à nos activités en ligne. Tout nous incite à nous connecter, partout, tout le temps du fait de la présence des réseaux wifi, 3G, 4G... mais également de la simplicité des usages de ces outils numériques pensés pour faciliter la fameuse expérience client. Aux Etats-Unis, des designers spécialisés travaillent sur ce qu'on appelle le "design de l'attention", à l'instar du "Persuasive Tech Lab" de l'Université de Standford[6] qui enseigne l'art et la manière de concevoir des produits numériques capables de capter l'attention de leurs utilisateurs. Une autre caractéristique de notre attention est qu'elle est limitée tant en termes de temps que de capacité de traitement. C'est en partant de ce constat que le psychologue et économiste Herbert Simon, prix Nobel d'économie en 1978 (bien avant le début de l'internet grand public) met en lumière la rationalité limitée des individus. Puisque notre « appareil de perception n'admet pas plus de 1.000 bits par seconde, et probablement moins, et alors que chaque organisme humain vit dans un environnement qui produit des millions de bits de nouvelles informations chaque seconde.... il en découle que la raison ne peut être que limitée et ne fonctionne qu'avec des informations incomplètes[7] ». Dit autrement, dans les pays industrialisés, le problème n'est plus l'accès à l'information mais le temps d'attention disponible pour la traiter. Si ces travaux se sont par la suite enrichis de l'apport des neurosciences, de la psychologie ou de la philosophie... des études plus récentes estiment que l'usage régulier d'Internet nous fait perdre notre capacité de concentration au profit d'une attitude de zapping généralisé[8]. Cet état, aussi appelé « multi-tasking », illustre le fait que, sous l'effet des multiples sollicitations - numériques principalement -, la focalisation de notre attention varie et qu'il nous faut faire plusieurs choses à la fois : liker, donner notre avis, répondre à un message, partager notre point de vue sur les réseaux sociaux.... bref, disperser notre attention en un fragment de multiples actions faites simultanément. Notre attention, un bien précieux convoité Sans jouer les Cassandre de ce nouveau monde numérique, il est urgent de reprendre le contrôle de notre attention pour s'extraire de ce régime de distraction permanente. Tout semble indiquer qu'un tel objectif soit difficile à atteindre, voire utopique tant nous nous sommes habitués à ce monde de sollicitations numériques permanentes. Pourtant, des pistes de progrès existent et méritent d'être envisagées : Au plan technologique et légal, des voix se font entendre pour créer une nouvelle forme d'éthique du numérique. Celle-ci passerait par l'apparition d'outils technologiques ayant des interfaces programmables pour ne plus recevoir ce flot ininterrompu de notifications. Autre proposition - celle-ci plus réelle car bientôt réalité -, celle de la prochaine entrée en vigueur du règlement européen sur les données personnelles, en mai 2018 [9]. Cette réglementation obligera les entreprises à intégrer la protection des données dans le code informatique des outils numériques. Cette règle dite du "privacy by design" permettra ainsi au marché à s'adapter et aux personnes de réaliser l'importance de cette emprise du numérique sur leurs vies, en ce compris la captation des données. Souhaitons que cette initiative puisse constituer la première pierre d'une vision éthique du numérique.Au plan individuel, il n'y a pas de miracle. Seule une maîtrise de soi permet de « reprendre en main le contrôle de notre attention, en particulier ce vers quoi on l'oriente... Cela passe par une réappropriation - voire un détachement - du numérique pour contrer ces logiques, en en faisant un espace plus sain à l'abri des logiques marchandes.[10] ». Pour cela, point de réglementation particulière à édicter sauf à adopter des gestes évidents, pour autant si difficiles à réaliser, tels qu'éteindre son écran ou bien, pour les plus accros, suivre une cure de « digital detox ». Si cela ne suffisait pas, il serait toujours temps de se tourner vers ceux, toujours plus nombreux, qui réfléchissent au « temps bien employé » à l'instar de l'américain Tristan Harris et son mouvement « Time well spent[11] ». Et puis, si ces idées s'avéraient trop iconoclastes, il existe toujours des recettes connues qui, depuis des siècles, semblent avoir démontré leur intérêt pour capter et retenir l'attention des hommes tout en faisant fructifier leur créativité. Que cela s'appelle l'ennui ou la rêverie, Rousseau ne s'y est pas trompé quand, dans sa 5e promenade des Rêveries du promeneur solitaire, il écrivait : « Le flux et reflux de cette eau, son bruit continu mais renflé par intervalles frappant sans relâche mon oreille et mes yeux suppléaient aux mouvements internes que la rêverie éteignait en moi et suffisaient pour me faire sentir avec plaisir mon existence, sans prendre la peine de penser. » ___ Retrouvez cet article en ligne sur Latribune.fr et Forbes.frVisitez mon blog http://philippeboyer.strikingly.com/#mes-articles-and-chroniquesTwitter https://twitter.com/Boyer_Ph ___ [1] http://www.editionsladecouverte.fr/catalogue/index-Contact-9782707186621.html [2] http://tempsreel.nouvelobs.com/culture/20040710.OBS2633/le-lay-nous-vendons-du-temps-de-cerveau.html [3] http://abonnes.lemonde.fr/actualite-medias/article/2016/11/22/l-allergie-a-la-pub-sur-internet-s-affirme_5035829_3236.html?xtmc=adblockers&xtcr=1 [4] https://www.franceculture.fr/emissions/le-numerique-et-nous/qui-est-responsable-du-temps-passe-sur-nos-smartphones [5] https://rslnmag.fr/innovation/cerveau-flux-numeriques-attention-jean-philippe-lachaux/ [6] http://captology.stanford.edu/ [7] https://fr.wikipedia.org/wiki/Herbert_Simon [8] http://www.internetactu.net/2009/01/23/nicolas-carr-est-ce-que-google-nous-rend-idiot/ [9] https://www.haas-avocats.com/nos-competences/avocat-rgpd-reglement-europeen-sur-la-protection-des-donnees-ce-qui-va-changer-pour-les-entreprises-publiques-et-privees/ [10] https://digital-society-forum.orange.com/fr/les-forums/552-numerique_notre_attention_en_question [11] http://www.timewellspent.io/
Philippe Boyer, directeur de l'innovation, Foncière des Régions.(738565.png)
DATE-CHARGEMENT: 15 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
464 of 500 DOCUMENTS
LEntreprise.com
Mercredi 14 Juin 2017
Protection des données personnelles: de nouvelles obligations pour l'entreprise
AUTEUR: Marianne Rey
RUBRIQUE: RESPONSABILITÉS / ASSURANCES HIGH TECH
LONGUEUR: 728 mots
ENCART: En mai 2018, un règlement européen sur la protection des données personnelles - le RGPD - entrera en vigueur. Toutes les entreprises devront s'y plier.
Le compte à rebours a commencé. Il reste moins d'un an aux entreprises pour se conformer au RGPD, petit nom barbare du règlement général sur la protection des données. Ce texte européen, adopté en avril 2016, entrera en application en France le 25 mai 2018.
LIRE AUSSI >> Les plaintes de salariés surveillés à leur insu dans l'entreprise explosent
"Ce règlement vise à renforcer le droit des personnes dont on utilise les données, à responsabiliser les acteurs impliqués dans le traitement de ces dernières, et à crédibiliser la régulation, en donnant notamment un pouvoir de sanction accru à la Commission nationale de l'informatique et des libertés (Cnil)", résume Anna Milleret-Godet, avocate chez Cohen & Gresser. Cnil qui, d'ailleurs, a publié un plan d'actions en six étapes, pour aider les entreprises à se mettre en conformité avec le règlement.
L'obligation de pouvoir démontrer sa conformité
Première chose à savoir, le RGPD entérine le principe "d'accountability". Difficilement traduisible, cela signifie concrètement que l'entreprise doit mettre en place des mesures de protection des données appropriées et pouvoir, si la Cnil le lui demande, être en mesure de prouver qu'elle respecte bien le règlement. Les déclarations à la Cnil sont supprimées, tout comme les demandes d'autorisation préalables (pour mettre en place une vidéosurveillance des salariés, par exemple).
LIRE AUSSI >> Les plaintes de salariés surveillés à leur insu dans l'entreprise explosent
"Un registre des activités de traitement de toutes les données personnelles est exigé dans les entreprises de plus de 250 salariés, et dans toutes les entreprises quelle que soit leur taille, si le traitement comporte des risques pour les droits et libertés des personnes physiques, s'il n'est pas occasionnel ou s'il porte sur des données sensibles ou se rapportant à des condamnations pénales, explique Anna Milleret-Godet. Mais cela ne signifie pas que, en dehors de ces cas, il ne faille pas mettre en place des outils permettant de démontrer la conformité de l'entreprise au RGPD, par exemple via des certifications ou bien l'adhésion à des codes de conduite". Salariés et clients doivent être évidemment informés des données récoltées, avertis qu'ils peuvent accéder aux informations et qu'ils peuvent demander à les modifier.
Adieu CIL, bonjour DPO
Autre évolution: c'en est fini du correspondant informatique et libertés (CIL). Place au data protection officer (DPO). Quand l'activité de base de l'entreprise induit du traitement grande échelle de données sensibles, ou "un suivi régulier et systématique à grande échelle des personnes", il convient d'en nommer un pour conseiller le responsable du traitement des données, veiller au respect du règlement et assurer le lien avec la Cnil. "Si vous êtes une start-up qui développe une application utilisant la géolocalisation ou dont l'activité est le retargeting (ciblage client, ndlr), par exemple, vous êtes très certainement concerné", illustre l'avocate.
Les responsables de traitement sont également tenus à une obligation de sécurité et doivent, dans certains cas, notifier toute faille, si par exemple des données sensibles sont volées, en cas de cyberattaque ou parce qu'un salarié se fait dérober son ordinateur professionnel, contenant des données personnelles. Un process doit ainsi être défini, pour avertir la Cnil, voire les personnes concernées.
LIRE AUSSI >> Données bancaires: Cdiscount sanctionné pour d'importants problèmes de sécurité
Alors que jusqu'ici, le pouvoir de sanction de la Cnil pouvait apparaître limité, le RGPD va jusqu'à lui donner la possibilité de prononcer une pénalité financière pouvant s'élever dans les cas les plus graves jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. "Si nous comparons cela à la récente condamnation de Facebook au plafond actuel de 150 000 euros d'amende pour non-respect de la législation sur la protection des données personnelles, montant dérisoire pour une telle entreprise, il est clair que le RGPD aura un véritable effet dissuasif", pointe Anna Milleret-Godet.
LIRE AUSSI >> Données personnelles: Meetic et Attractive World sanctionnés
La loi pour une République numérique, adoptée en novembre 2016, avait déjà pris en compte en partie cette évolution en augmentant l'amende possible à 3 millions d'euros.
DATE-CHARGEMENT: 14 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Express - LEntreprise.com
Tous droits réservés
465 of 500 DOCUMENTS
Economie Matin
9 juin 2017 04:00 AM GMT
Règlement européen sur la protection des données : encore un an pour s'y confirmer
LONGUEUR: 543 mots
Il est essentiel que toutes les organisations s'y préparent dès à présent, aussi bien pour échapper aux sanctions que pour se protéger des hackers. Tout non-respect du RGPD exposera les entreprises à des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. En outre, alors que ce nouveau règlement est une avancée positive dans la protection des données, les organisations doivent avoir conscience que les cybercriminels peuvent profiter de la situation en utilisant de nouvelles méthodes.
Comme l'ont démontré les récents événements liés à l'attaque WannaCry, le ransomware est une technique largement utilisée par les hackers, qui évolue et peut devenir encore plus dangereuse, notamment si un pirate réussit à accéder à un réseau et que l'organisation ciblée n'a pas les outils nécessaires en place pour détecter la faille, ou simplement pour la signaler. Il pourrait alors, par exemple, menacer de la dénoncer auprès de la CNIL pour non-conformité, si elle ne paie pas la rançon. Est-il possible qu'une entreprise puisse préférer acheter le silence d'un hacker plutôt que de payer une amende pour ne pas avoir respecté le règlement ? Ainsi, pour éviter de se retrouver en mauvaise posture et être en phase avec le RGPD, les organisations devront être capables de détecter, se protéger, prédire et contenir les menaces au coeur de leur réseau. Cela leur permettra notamment de répondre à l'obligation de signaler toute vulnérabilité dans les 72 heures au plus tard après en avoir pris connaissance, et de sauvegarder les données de leurs clients dans un endroit sûr. Et pour y parvenir, elles auront besoin d'une visibilité complète sur toutes les données qui transitent sur leurs réseaux, puisqu'on ne peut pas sécuriser ce qu'on ne voit pas. Par ailleurs, le nom donné au règlement a laissé penser à certaines entreprises basées en dehors de l'Union Européenne, et en particulier aux Etats-Unis, que ces changements ne les impacteraient pas. Toutefois, ces organisations outre-Atlantique font fausse route. Elles doivent en effet prendre les mesures nécessaires dès à présent au risque de ne pas être conformes d'ici la date de l'entrée en vigueur. Le RGPD s'applique à toute donnée en lien avec un résident de l'Union Européenne. Par conséquent, une entreprise hors-UE qui effectue une vente auprès d'un client européen devra être en conformité avec le règlement en question. De la même manière qu'une organisation américaine qui détient les données personnelles de clients au sein de l'Union Européenne sera également tenue de respecter les dispositions du RGPD. Toutefois, les entreprises ne peuvent simplement pas être conformes ni sécurisées sans une visibilité permanente et complète sur l'ensemble de leur réseau. C'est pourquoi, elles doivent adopter les outils de visibilité et de sécurité adéquats pour se protéger et ainsi éviter de faire la Une des journaux. Les 365 jours à venir sont donc l'occasion, pour celles qui ne l'ont pas encore fait, de renforcer leur architecture de sécurité, de réaliser des simulations de cyberattaque et de s'assurer que l'ensemble des collaborateurs connaissent les processus de notification dès qu'une faille est identifiée, et d'être ainsi prêtes une fois le RGPD en vigueur.
DATE-CHARGEMENT: 13 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
466 of 500 DOCUMENTS
La Tribune Hebdomadaire
9 juin 2017
Une nouvelle protection des données personnelles en Europe ?
AUTEUR: PAR SYLVAIN NAILLAT
RUBRIQUE: VISION; Pg. 23
LONGUEUR: 1112 mots
Le traitement des données personnelles est devenu un enjeu économique majeur. Et la protection de ces données pose à nouveaux frais le cadre juridique.
La protection des données personnelles est de ces enjeux - pourtant cruciaux - qui ne s'imposent véritablement que sur le tard. Pendant longtemps, cette matière paraissait un peu obscure et n'était presque pas enseignée à l'université. Pourtant, les traitements de données à grande échelle ont accompagné l'informatique de masse et, à partir des années 1990, Internet en a permis l'essor. Aujourd'hui, les données sont la sève d'industries toutes entières dont le modèle économique repose sur leur amas. Face aux augures du big data et de l'intelligence artificielle, c'est dans une période charnière que nous sommes aujourd'hui placés, tant la démocratisation de ces techniques prépare une nouvelle explosion des traitements de données.
Aussi l'Union européenne s'est-elle employée à refondre sa législation, vieille de vingt-deux ans, en adoptant un texte, le Règlement général sur la protection des données (RGPD), qui entrera en application dans un an, le 25 mai 2018. La tâche qui attend ce texte est immense, et il n'est pas inutile de faire un état - sélectif - des lieux, afin d'essayer d'apprécier s'il sera à la hauteur.
CHANGEMENT D'APPROCHE
Jusqu'à présent, l'attention des entreprises était souvent monopolisée par le seul sommet de l'iceberg : les déclarations ou autorisations auprès de la Cnil, obligatoires avant la mise en oeuvre des traitements des données. Ces formalités préalables ont parfois caché la forêt, c'est-à-dire la nécessité de s'assurer que les traitements de données personnelles respectent effectivement, en pratique, toutes les dispositions de la loi.
Avec le RGPD, les formalités préalables sont abandonnées, sauf pour quelques exceptions. Le maître mot du règlement est celui de " responsabilisation " : c'est aux entreprises de tenir le registre des traitements qu'elles mettent en place, c'est également à elles de déterminer en amont l'impact que peuvent avoir leurs projets sur les données personnelles, et d'en tirer les conséquences. Avec cela s'imbrique l'obligation de respecter le principe dit de privacy by design : penser la protection des données personnelles au stade de la conception même des produits et services ; celui de privacy by default, qui s'attache aux paramétrages de base de ces produits et services ; mais également celui de " minimisation des données
", qui encourage les entreprises à ne pas collecter plus de données que de besoin.
En somme, ce règlement signe l'entrée dans l'âge de la maturité pour la protection des données personnelles, qui doit désormais être pleinement appréhendée par les entreprises, au même rang que les législations fiscales ou sociales, etc. Pour y parvenir, elles pourront - ou devront -, désigner un " délégué à protection des données
", nouveau métier pour lequel des formations ont déjà été mises en place, comme par exemple à l'Université Paris II.
CHANGEMENT D'AMPLEUR
Pour convaincre, le RGPD s'est doté d'un argument imparable : les sanctions. En 2018, les Cnil européennes pourront prononcer des sanctions pouvant s'élever à 20 millions d'euros et surtout, pour les personnes morales, jusqu'à 4 % du chiffre d'affaires annuel mondial (plusieurs milliards d'euros pour certains). À titre de comparaison, le plafond des sanctions en France était jusqu'à très récemment de 300 000 euros (en cas de récidive) ; depuis la loi République numérique du 9 octobre 2016, le plafond a été augmenté à 3 millions d'euros. Cela devrait permettre enfin à la protection des données personnelles de ne plus être à la traîne sur les listes de priorités.
Cela devrait surtout contribuer à débloquer les budgets nécessaires sur un poste essentiel : la sécurité des systèmes d'information, qui est un point clé de la protection des données, qu'elles soient personnelles ou autres, financières, scientifiques, etc. L'impressionnante et récente cyberattaque WannaCry n'est que la suite d'une série d'offensives et de piratages largement médiatisés ; lesquelles pourraient bien n'être que des prémices si rien n'est fait. En outre, par-delà les actes malveillants, il y a surtout les failles, les négligences et les lacunes en tout genre. Il faut donc espérer que le RGPD saura réveiller la culture de la sécurité informatique en France et en Europe.
QUELQUES DEMI-TEINTES
Du côté des particuliers dont les données sont traitées, le RGPD ne devrait pas bousculer les choses. Les " droits nouveaux " ne sont pas des plus convaincants, à l'image de ce droit présenté comme le fameux " droit à l'oubli
", qui n'est en réalité que le droit d'obtenir la suppression des données lorsque leur traitement n'est pas - ou plus - conforme au règlement... ce qui n'est pas d'une logique révolutionnaire.
L'on peut tout de même souligner l'apparition d'un droit à la portabilité des données, destiné à faire jouer la concurrence entre les entreprises en permettant aux particuliers de passer de l'une à l'autre plus facilement. Le RGPD n'oublie pas les techniques de traitement faisant appel à l'intelligence artificielle, puisqu'il modifie les règles existantes et permet aux individus de s'opposer à ce qu'une décision à leur égard soit prise de manière purement automatique - par exemple, le refus d'un crédit. Dans ce cadre, le RGPD va même jusqu'à reconnaître le droit pour les individus " d'obtenir une intervention humaine
", ce qui peut laisser songeur.
Au-delà, les droits des particuliers consistent surtout à être informé pour pouvoir agir en toute connaissance de cause. Le RGPD risque ici d'être contreproductif, car le texte allonge déraisonnablement la liste des mentions d'information obligatoires. Or la complexification de l'information mène souvent à son inintelligibilité, de sorte que les individus risquent d'être moins bien informés après le RGPD.
Ce point fait écho à un autre élément clé de la protection des données personnelles. En effet, ces dernières sont déjà partout, disséminées et divulguées par les individus eux-mêmes, qui n'y voient la plupart du temps aucun problème car le monde numérique reste encore trop virtuel. Dans ce cadre, il est un peu vain d'imposer aux entreprises de ne collecter que le strict nécessaire si le reste leur est offert de bon coeur. Il y a donc un équilibre à trouver, et le RGPD n'y contribuera pas seul, car l'enjeu est très largement un enjeu de société et d'éducation.
(*) Suivre Sylvain Naillat, @SNaillat, qui exerce dans le domaine du droit des nouvelles technologies, des données personnelles et de la propriété intellectuelle.
PAR SYLVAIN NAILLAT
AVOCAT AU BARREAU DE PARIS, AU SEIN DU CABINET NOMOS (*)
DATE-CHARGEMENT: June 8, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Pour mieux encadrer le recueil et l'utilisation des données personnelles, un nouveau Réglement européen entrera en vigueur en mai 2018 dans l'Union.
iStock
DR
TYPE-PUBLICATION: Magazine
Copyright 2017 La Tribune
Tous droits réservés
467 of 500 DOCUMENTS
Economie Matin
7 juin 2017 04:00 AM GMT
Risques 2017 : les entreprises voient au-delà de la compliance
LONGUEUR: 679 mots
On attendait dans les top risks 2017 une poussée des risques de compliance, avec la loi Sapin 2 obligeant les entreprises de plus de 500 salariés et 100 millions de chiffre d'affaires à mettre en place un dispositif anti-corruption, le dispositif de lanceur d'alerte échu aux entreprises de plus de 50 salariés ainsi que la réforme de l'audit, qui renforce les responsabilités des membres du conseil d'administration en cas de manquement dans la supervision et la gestion des risques. Même si l'accroissement de la réglementation augmente mécaniquement le risque de " non compliance ", tout en le sanctionnant davantage, ce risque figure déjà depuis le début des années 2000 en bonne place dans les cartographies des risques de la plupart de nos sociétés. On pourra discuter des seuils qui aujourd'hui intègrent de plus petites entités, mais le vrai bouleversement dans la gestion des risques est ailleurs. Il réside plutôt dans la progression de nouveaux risques qui engagent les stratégies et les business plans de nos entreprises. En tête, le risque géopolitique, qui s'est considérablement renforcé ces derniers mois pour se faire une place dans les top risks des plans d'audit.
De nature exogène, ce risque est plus diffus, plus volatile, donc plus difficilement contrôlable. Les conséquences du Brexit, l'élection de Donald Trump, la montée des populismes, provoquent des incertitudes et des tensions pesant sur l'économie du pays. En juin dernier, la Banque mondiale a réitéré sa mise en garde contre le risque géopolitique et son impact sur les perspectives de l'économie mondiale. Si la perspective en France d'une sortie de la zone euro est désormais écartée, le prochain scrutin législatif italien pourrait également mettre en péril la stabilité du marché unique. Dans un monde de plus en plus incertain et complexe, le risque géopolitique doit donc être appréhendé par nos entreprises afin de favoriser leur capacité de résilience face au changement. Cette appréhension nécessite de la transversalité puisqu'elle implique de nombreux risques sous-jacents : risque énergétique, risque fiscal, risque de change, risque de liquidité, risques juridiques Autre risque en forte croissance cette année dans les plans d'audit, le risque RH qui est aujourd'hui reconnu (enfin pourrait-on dire) comme l'un des facteurs clés de compétitivité. Au coeur du management de ce risque, on trouve bien sûr la politique de recrutement pour attirer les talents, mais également le développement ou le maintien de la culture de l'organisation et donc de sa cohésion, ainsi que la qualité de l'environnement de travail des collaborateurs et les politiques de lutte contre les discriminations au travail. Le risque de réputation n'est pas bien loin, car l'image que les organisations renvoient au grand public doit refléter leur engagement sociétal et en premier lieu, leur politique RH. Enfin, autre risque stratégique majeur, celui des données qui recouvre les problématiques de cybersécurité et qui ne peut plus être aujourd'hui analysé sous un prisme exclusivement réglementaire, même si se profile la transposition de la directive européenne sur la protection des données personnelles (RGPD) en mai 2018. Les données, devenues une ressource précieuse et convoitée, deviennent dans le même temps une ressource ultra-sensible à protéger, ce qui commande de mettre en place des dispositifs de maîtrise des risques adéquats. Les scandales récents de vols de données, du piratage des mails de Yahoo! pesant dans l'opération de rachat par Verizon à la chute vertigineuse du cours de bourse de Vinci, rappellent l'importance que requiert la maîtrise des systèmes d'information de l'entreprise. Que retenir de ce rapide tableau ? Que les risques de compliance n'ont pas pris le pas sur les risques stratégiques, loin s'en faut. Et que ces risques sont aujourd'hui tant interconnectés, complexes et volatiles, qu'ils demandent aux entreprises de mettre en place des stratégies de pilotage de leurs risques transversales, agiles et prenant en compte l' " ADN du risque " propre à chacune.
DATE-CHARGEMENT: 9 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
468 of 500 DOCUMENTS
Le Monde
7 juin 2017 mercredi
Protection des données : un défi pour les entreprises
AUTEUR: Vincent Fagot
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 8
LONGUEUR: 1001 words
ENCART: Un nouveau règlement européen change radicalement les règles du jeu pour les sociétés et les administrations
Dans moins d'un an, le 25 mai 2018, un nouveau règlement européen va encadrer la protection des données détenues par les entreprises et les administrations. Largement méconnu, il va pourtant radicalement changer les règles du jeu.
Favoriser l'économie des données en rassurant les citoyens
Initié en janvier 2012 par la commissaire européenne Viviane Reding, le règlement général sur la protection des données (RGPD) a fait l'objet d'un long travail législatif, avant d'être adopté en avril 2016. Ce texte, qui prend la relève d'une directive de 1995, entend répondre aux défis posés par la digitalisation de notre société qui permet " tant aux entreprises privées qu'aux autorités publiques d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités ". Et ces dernières ne s'en privent pas : l'économie des données (du e-commerce à la gestion du trafic en passant par des ser-vices médicaux personnalisés), qui pesait 272 milliards d'euros en 2015, pourrait dépasser les 640 milliards à l'horizon 2020, selon la Commission.
Loin de vouloir freiner cette dynamique, le RGPD vise à " susciter la confiance qui permettra à l'économie numérique de se développer ". Cela passe notamment par une meilleure information lors de la collecte des données personnelles, avec l'obligation de requérir le consentement de l'utilisateur en expliquant l'usage qui en sera fait. Le texte garantit aussi l'accès aux données personnelles qui ont été collectées, et la possibilité de faire valoir un droit à l'oubli.
Un impact majeur pour les entreprises
Pour les entreprises et les administrations, le RGPD introduit des changements importants. Elles vont devoir tenir à jour un registredécrivant précisément les données stockées, dans quel but et la durée pour laquelle il est prévu de les exploiter.
Toutes les données sont concernées : dossiers des ressources humaines, fichier clients-prospects, informations récoltées en ligne...
Ce document, qui doit pouvoir être présenté à la Commission nationale de l'informatique et des libertés (CNIL), se substitue à la déclaration préalable auprès de l'autorité. Il doit aussi permettre à chaque entreprise d'identifier les informations sensibles qu'elle détient et de prendre les mesures appropriées pour les protéger (logiciels de sécurité informatique, chiffrement, etc.).
Autre changement, les entreprises gérant d'importants volumes de données personnelles devront s'adjoindre les services d'un " délégué à la protection des données " (DPO), chargé de les aider à se mettre en conformité avec le règlement. La CNIL estime qu'on aura besoin d'au moins 80 000 DPO - dont la moitié dans le secteur public -, alors qu'on compte aujourd'hui moins de 5 000 correspondants informatique et libertés (les précurseurs des DPO).
Une course contre la montre
" Moins d'un tiers des entreprises se sentent prêtes à se conformer au RGPD, et 97 % n'ont pas de plan d'action ", s'était émue le 2 mars, au Medef, Isabelle Falque-Pierrotin, la présidente de la CNIL. Et depuis la situation ne s'est guère améliorée. Florence Feniou, coordinatrice régionale intelligence économique à la chambre de commerce de Normandie, a organisé plusieurs réunions d'information sur le sujet. " A chaque fois, la méconnaissance de l'auditoire est criante et les réactions sont les mêmes : les chefs d'entreprise demandent s'ils sont concernés, s'ils doivent avoir un DPO, ce qu'ils doivent faire pour être dans les clous. " C'est dans une de ces réunions organisées par les chambres de commerce et d'industrie, cette fois en Alsace, que l'éditeur de logiciels Eureka, a pris connaissance de l'existence du RGPD : " On s'est dit, c'est quoi cette bête ? ", raconte Henri Stuckert, le fondateur de l'entreprise. Et depuis, " tout le monde commence à avoir peur ".
Si les TPE/PME semblent découvrir ce sujet, ce chantier est bien souvent devenu une priorité pour les grands groupes. " Nous avons mis en place un programme pharaonique pour nous mettre en -conformité. Cela touche à toutes les fonctions de l'entreprise et nécessite un changement de culture et de nouveaux réflexes ", explique Nathalie Lanaret, DPO de Capgemini. Sans donner de chiffres, elle admet qu'il s'agit aussi pour Capgemini d'un investissement " coûteux ", incluant un plan de formation et des dépenses techniques pour sécuriser et superviser les données. Selon une étude de Sia Partners, le coût de la mise en conformité pour une entreprise du CAC 40 s'élèverait en moyenne à 30 millions d'euros. Une précédente étude menée par le cabinet Veritas auprès de 900 sociétés de plus
de 1 000 salariés définissait un coût moyen pour celles-ci de 1,3 million d'euros.
Un texte qui inquiète
Si l'investissement peut paraître élevé, ce n'est rien au regard des sanctions prévues par le RGPD en cas de manquement grave. " Maintenant, ça ne rigole plus du tout ", souligne Marc Lolivier, délégué de la Fédération française du e-commerce. Les amendes peuvent désormais atteindre 20 millions d'euros, voire 4 % du chiffre d'affaires - bien au-delà du plafond de 150 000 euros prévu jusque-là.
Autre sujet de préoccupation : en cas de pertes de données, les entreprises devront alerter la CNIL et même les personnes -concernées si les informations divulguées sont sensibles. " Les entreprises se méfient de cette disposition qui peut porter atteinte à leur image de marque ", souligne M. Lolivier.
Enfin, beaucoup soulignent le flou qui entoure de nombreuses dispositions du texte. Comme la notion bien vague de " traitement de données à grande échelle ", qui oblige les entreprises et les organisations à se doter d'un DPO. " Cela crée une forme d'insécurité, il faut une clarification des textes ", souligne Marie Prat, coprésidente de la Commission innovation et économie numérique de la Confédération des petites et moyennes entreprises CPME. " On attend encore les arbitrages, alors que nous établissons en ce moment les budgets pour nous mettre en conformité l'an prochain ", déplore Mme Lanaret.
DATE-CHARGEMENT: 6 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Monde Interactif
Tous Droits Réservés
469 of 500 DOCUMENTS
Le Monde.fr
Mardi 6 Juin 2017
Protection des données : les entreprises au défi du nouveau règlement européen
AUTEUR: Vincent Fagot
LONGUEUR: 989 words
Dans moins d'un an, le 25mai 2018, un nouveau règlement européen va encadrer la protection des données détenues par les entreprises et les administrations. Largement méconnu, il va pourtant radicalement changer les règles du jeu.
Favoriser l'économie des données en rassurant les citoyens
Initié en janvier2012 par la commissaire européenne Viviane Reding, le règlement général sur la protection des données (RGPD) a fait l'objet d'un long travail législatif, avant d'être adopté en avril2016. Ce texte, qui prend la relève d'une directive de 1995, entend répondre aux défis posés par la digitalisation de notre société qui permet «tant aux entreprises privées qu'aux autorités publiques d'utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités». Et ces dernières ne s'en privent pas: l'économie des données (du e-commerce à la gestion du trafic en passant par des services médicaux personnalisés), qui pesait 272milliards d'euros en2015, pourrait dépasser les 640milliards à l'horizon 2020, selon la Commission.
Loin de vouloir freiner cette dynamique, le RGPD vise à «susciter la confiance qui permettra à l'économie numérique de se développer». Cela passe notamment par une meilleure information lors de la collecte des données personnelles, avec l'obligation de requérir le consentement de l'utilisateur en expliquant l'usage qui en sera fait. Le texte garantit aussi l'accès aux données personnelles qui ont été collectées, et la possibilité de faire valoir un droit à l'oubli.
Un impact majeur pour les entreprises
Pour les entreprises et les administrations, le RGPD introduit des changements importants. Elles vont devoir tenir à jour un registre décrivant précisément les données stockées, dans quel but et la durée pour laquelle il est prévu de les exploiter. Toutes les données sont concernées: dossiers des ressources humaines, fichier clients-prospects, informations récoltées en ligne...
Ce document, qui doit pouvoir être présenté à la Commission nationale de l'informatique et des libertés (CNIL), se substitue à la déclaration préalable auprès de l'autorité. Il doit aussi permettre à chaque entreprise d'identifier les informations sensibles qu'elle détient et de prendre les mesures appropriées pour les protéger (logiciels de sécurité informatique, chiffrement, etc.).
Autre changement de taille, les entreprises gérant d'importants volumes de données personnelles devront s'adjoindre les services d'un «délégué à la protection des données» (DPO), chargé de les aider à se mettre en conformité avec le règlement. La CNIL estime qu'on aura besoin d'au moins 80000 DPO - dont la moitié dans le secteur public - alors qu'on compte aujourd'hui moins de 5000 correspondants informatique et libertés (les précurseurs des DPO).
Une course contre la montre
«Moins d'un tiers des entreprises se sentent prêtes à se conformer au RGPD, et 97% n'ont pas de plan d'action», s'était émue le 2mars, au Medef, Isabelle Falque-Pierrotin, la présidente de la CNIL. Et depuis la situation ne s'est guère améliorée. Florence Feniou, coordinatrice régionale intelligence économique à la chambre de commerce de Normandie, a organisé plusieurs réunions d'information sur le sujet. «A chaque fois, la méconnaissance de l'auditoire est criante et les réactions sont les mêmes: les chefs d'entreprise demandent s'ils sont concernés, s'ils doivent avoir un DPO, ce qu'ils doivent faire pour être dans les clous.» C'est dans une de ces réunions organisées par les chambres de commerce et d'industrie, cette fois en Alsace, que l'éditeur de logiciels Eureka, a pris connaissance de l'existence du RGPD: «On s'est dit, c'est quoi cette bête?», raconte Henri Stuckert, le fondateur de l'entreprise. Et depuis, «tout le monde commence à avoir peur».
Si les TPE/PME semblent découvrir ce sujet, ce chantier est bien souvent devenu une priorité pour les grands groupes. «Nous avons mis en place un programme pharaonique pour nous mettre conformité. Cela touche à toutes les fonctions de l'entreprise et nécessite un changement de culture et de nouveaux réflexes», explique Nathalie Lanaret, DPO de Capgemini. Sans donner de chiffre, elle admet qu'il s'agit aussi pour Capgemini d'un investissement «coûteux», incluant un plan de formation et des dépenses techniques pour sécuriser et superviser les données. Selon une étude de Sia Partners, le coût de la mise en conformité pour une entreprise du CAC 40 s'élèverait en moyenne à 30millions d'euros. Une précédente étude menée par le cabinet Veritas auprès de 900 sociétés de plus de 1000salariés définissait un coût moyen pour celles-ci de 1,3million d'euros.
Un texte qui inquiète
Si l'investissement peut paraître élevé, ce n'est rien au regard des sanctions prévues par le RGPD en cas de manquement grave. «Maintenant, ça ne rigole plus du tout», souligne Marc Lolivier, délégué de la Fédération française du e-commerce. Les amendes peuvent désormais atteindre 20millions d'euros, voire 4% du chiffre d'affaires - bien au-delà du plafond de 150000euros prévu jusque-là.
Autre sujet de préoccupation: en cas de pertes de données, les entreprises devront alerter la CNIL et même les personnes concernées si les informations divulguées sont sensibles. «Les entreprises se méfient de cette disposition qui peut porter atteinte à leur image de marque», souligne M. Lolivier.
Enfin, beaucoup soulignent le flou qui entoure de nombreuses dispositions du texte. Comme la notion bien vague de «traitement de données à grande échelle», qui oblige les entreprises et les organisations à se doter d'un DPO. «Cela crée une forme d'insécurité, il faut une clarification des textes», souligne Marie Prat, coprésidente de la Commission innovation et économie numérique de la Confédération des petites et moyennes entreprises CPME. «On attend encore les arbitrages, alors que nous établissons en ce moment les budgets pour nous mettre en conformité l'an prochain», déplore Mme Lanaret.
DATE-CHARGEMENT: 6 Juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
470 of 500 DOCUMENTS
La Tribune
Jeudi 1 Juin 2017
Dans un an, une nouvelle protection des données personnelles en Europe
AUTEUR: Sylvain Naillat
RUBRIQUE: OPINIONS; Pg. 166
LONGUEUR: 1120 mots
ENCART: Le traitement des données personnelles est devenu un enjeu économique majeur. Et leur protection repose à nouveaux frais le cadre juridique. Par Sylvain Naillat, avocat au barreau de Paris, au sein du cabinet NomoS (*).
La protection des données personnelles est de ces enjeux (pourtant cruciaux) qui ne s'imposent véritablement que sur le tard. Pendant longtemps, cette matière apparaissait un peu obscure et n'était presque pas enseignée à l'Université. Pourtant, les traitements de données à grande échelle ont accompagné l'informatique de masse et, à partir des années 90, Internet en a permis l'essor. Aujourd'hui, les données sont la sève d'industries toutes entières dont le modèle économique repose sur leur amas. Face aux augures du « Big Data » et de l'intelligence artificielle, c'est dans une période charnière que l'on est aujourd'hui placé tant la démocratisation de ces techniques préparent une nouvelle explosion des traitements de données. Aussi, l'Union européenne s'est-elle employée à refondre sa législation vieille de vingt-deux ans, en adoptant un Règlement (le « RGPD[1] ») qui entrera en application dans un an, le 25 mai 2018. La tâche qui attend ce texte est immense, et il n'est pas inutile de faire un tour (sélectif) des lieux afin d'essayer d'apprécier s'il sera à la hauteur.
Un changement d'approche Jusqu'à présent, l'attention des entreprises était souvent monopolisée par le seul sommet de l'iceberg : les déclarations ou autorisations auprès de la CNIL, obligatoires avant la mise en uvre des traitements. Ces formalités préalables ont parfois caché la forêt, c'est-à-dire la nécessité de s'assurer que les traitements de données personnelles respectent effectivement, en pratique, toutes les dispositions de la loi. Avec le RGPD, les formalités préalables sont abandonnées (sauf quelques exceptions). Le maître mot du Règlement est celui de « responsabilisation » : c'est aux entreprises de tenir le registre des traitements qu'elles mettent en place, c'est également à elles de déterminer en amont l'impact que pourront avoir leurs projets sur les données personnelles, et d'en tirer les conséquences. A cela s'imbrique l'obligation de respecter le principe dit de « privacy by design » : penser la protection des données personnelles au stade de la conception même des produits et services ; celui de « privacy by default », qui s'attache aux paramétrages de base de ces produits et services ; mais également celui de « minimisation des données », qui encourage les entreprises à ne pas collecter plus de données que de besoin. En somme, le Règlement signe l'âge de la maturité pour la protection des données personnelles, qui doit désormais être pleinement appréhendée par les entreprises au même rang que les législations fiscales, ou sociales, etc. Pour les aider, elles pourront - ou devront -, désigner un « délégué à protection des données », nouveau métier pour lequel des formations ont déjà été mises en place, comme par exemple à l'Université Paris II[2]. Un changement d'ampleur Pour convaincre, le RGPD s'est doté d'un argument imparable : les sanctions. En 2018, les CNIL européennes pourront prononcer des sanctions pouvant s'élever à 20 millions d'euros, et surtout pour les personnes morales jusqu'à à 4% du chiffre d'affaire annuel mondial (plusieurs milliards d'euros pour certains). A titre de comparaison, le plafond des sanctions en France était jusqu'à très récemment de 300.000 euros (en cas de récidive)[3]. Cela devrait permettre définitivement à la protection des données personnelles de ne plus être à la traîne sur les listes de priorités. Cela devrait surtout permettre de débloquer les budgets nécessaires sur un poste essentiel : la sécurité des systèmes d'information, qui est un point clef de la protection des données (qu'elles soient personnelles ou autres : financières, scientifiques etc.). L'impressionnante et récente « attaque » WannaCry[4] n'est que la suite d'une série d'offensives et de piratages largement médiatisés ; lesquelles pourraient bien n'être que prémices si rien n'est fait. En outre, par-delà les actes malveillants, il y a surtout les failles, les négligences et les lacunes en tout genre. Il faut donc espérer que le RGPD saura réveiller la culture de la sécurité informatique en France et en Europe. Quelques demi-teintes Du côté des particuliers dont les données sont traitées, le RGPD ne devrait pas bousculer les choses. Les droits « nouveaux » ne sont pas des plus convaincants, à l'image de ce droit présenté en sous-titre comme le fameux « droit à l'oubli », qui n'est en réalité que le droit d'obtenir la suppression des données lorsque leur traitement n'est pas (ou plus) conforme au Règlement... ce qui n'est pas d'une logique révolutionnaire. L'on peut tout de même souligner l'apparition d'un droit à la portabilité des données, destiné à favoriser la concurrence entre les entreprises en permettant aux particuliers de passer de l'une à l'autre plus facilement. Le RGPD n'oublie pas les techniques de traitements faisant appel à l'intelligence artificielle, puisqu'il modifie les règles existantes et permet aux individus de s'opposer à ce qu'une décision à leur égard ne soit prise de manière purement automatique (par exemple : le refus d'un crédit). Dans ce cadre, le RGPD va même jusqu'à reconnaître le droit pour les individus « d'obtenir une intervention humaine », ce qui pourra laisser songeur. Au-delà, les droits des particuliers consistent surtout à être informés pour pouvoir agir en toute connaissance de cause. Le RGPD risque ici d'être contre-productif car le texte allonge déraisonnablement la liste des mentions d'information obligatoires. Or, la complexification de l'information mène souvent à son inintelligibilité, de sorte que les individus risquent d'être moins bien informés après le RGPD. Ce point fait écho à un autre point clef de la protection des données personnelles. En effet, les données personnelles sont déjà partout, disséminées et divulguées par les individus eux-mêmes qui n'y voient la plupart du temps aucun problème car le monde numérique reste encore trop virtuel. Dans ce cadre, il est un peu vain d'imposer aux entreprises de ne collecter que le strict nécessaire si le reste leur est offert de bon c ur. Il y a donc un équilibre à trouver, et le RGPD ne réussira pas seul, car l'enjeu est très largement un enjeu de société et d'éducation. (*) Suivre Sylvain Naillat sur Twitter, qui exerce dans le domaine du droit des nouvelles technologies, des données personnelles et de la propriété intellectuelle.
[1] Règlement Général sur la Protection des Données. [2] https://www.u-paris2.fr/fr/formations/offre-de-formation/llm-mba-et-diplomes-duniversite/diplome-duniversite-delegue-la-protection-des [3] Depuis la loi « République Numérique » du 9 octobre 2016, le plafond a été augmenté à 3 millions d'euros. [4] ORLM : après WannaCry, faut-il avoir peur des rançongiciels ?
Sylvain Naillat.
DATE-CHARGEMENT: 31 Mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
471 of 500 DOCUMENTS
RiskAssur
mercredi 31 mai 2017
Cegedim Insurance Solutions consolide sa démarche qualité
RUBRIQUE: ORGA
LONGUEUR: 559 mots
L'AFNOR a renouvellé ses deux certifications, ISO 27 001 pour la sécurité des systèmes d'information et ISO 20 000 pour la gestion des services. Celles-ci s'inscrivent dans une démarche globale d'amélioration continue combinant certifications techniques et métiers.
Les audits et certifications sont des éléments majeurs dans la garantie pour les clients d'une organisation moderne et de qualité. Après la certification initiale, début 2014, de la \xAB Réalisation de prestations de services en mode SaaS, en infogérance ou en hébergement technique \xBB sur son Data Center de Toulouse, Cegedim Insurance Solutions réaffirme son engagement qualité.
Pierre Darphin, Responsable Qualité & Sécurité, précise \xAB Le système de management intégré composé de plusieurs niveaux d'accréditations et certifications doit répondre aux exigences des assureurs en matière de protection des données, de sécurité et de continuité d'activité. Il leur permet de se focaliser sur leur coeur de métier en leur apportant tranquillité et sécurité. Le renouvellement de ces certifications est une reconnaissance de nos compétences et un élément différenciateur sur le marché des grands hébergeurs français \xBB.
Grâce à l'ensemble de ces certifications et contrôles, Cegedim Insurance Solutions se positionne comme un interlocuteur privilégié des assureurs, en phase avec la réforme européenne du monde de l'assurance. La directive européenne Solvabilité 2, entrée en vigueur au 1er janvier 2016, renforce la prise en compte des risques dans le calcul des fonds propres nécessaires pour les couvrir. Dans ce contexte, il appartient aux assureurs non seulement de comprendre les risques inhérents à leur activité, mais aussi de vérifier que les processus de gestion qu'ils externalisent sont soumis à un contrôle interne adapté.
Ces certifications préparent notamment le socle pour être en conformité avec le nouveau règlement européen de protection des données (RGPD) et la certification Hébergeur de Données de Santé (HDS) attendus en 2018.
François Kerzerho, Directeur des Services, souligne \xAB Ces nouvelles étapes clé valident la sécurité et la qualité de services rendue à nos clients qui doivent faire face aux exigences du deuxième pilier de Solvabilité 2 et du nouveau règlement Européen de protection des données. La certification des processus associés à nos activités d'infogérance mais aussi de tiers payant et de gestion déléguée, traduit l'engagement du management dans une politique de qualité et de maîtrise des risques. Ce référentiel de processus constitue également un excellent outil de management pour améliorer, de manière continue, notre efficacité opérationnelle \xBB.
L'activité Insurance Cloud Services tient une place importante dans l'offre de services de Cegedim Insurance Solutions et repose sur un Système de Management Intégré déjà accrédité, avec des certifications portant sur les Conditions de fonctionnement des Infrastructures de gestion des Organismes Conventionnées (CI-OC), l'agrément Hébergeur de Données de Santé, le Label Cloud, le contrôle des risques (ISAE 3402)... Ces certifications et accréditations permettent d'assurer la prise en compte de la sécurité de l'information dans les activités d'infogérance mais également dans les activités d'externalisation des processus métier : tiers payant et délégation de gestion.
DATE-CHARGEMENT: 5 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Franol Services
tous droits réservés
472 of 500 DOCUMENTS
La Tribune.fr
Mardi 30 Mai 2017 5:59 PM CET
Dans un an, une nouvelle protection des données personnelles en Europe
AUTEUR: Sylvain Naillat
RUBRIQUE: OPINIONS; TRIBUNES
LONGUEUR: 1120 mots
ENCART: Le traitement des données personnelles est devenu un enjeu économique majeur. Et leur protection repose à nouveaux frais le cadre juridique. Par Sylvain Naillat, avocat au barreau de Paris, au sein du cabinet NomoS (*).
La protection des données personnelles est de ces enjeux (pourtant cruciaux) qui ne s'imposent véritablement que sur le tard. Pendant longtemps, cette matière apparaissait un peu obscure et n'était presque pas enseignée à l'Université. Pourtant, les traitements de données à grande échelle ont accompagné l'informatique de masse et, à partir des années 90, Internet en a permis l'essor. Aujourd'hui, les données sont la sève d'industries toutes entières dont le modèle économique repose sur leur amas. Face aux augures du « Big Data » et de l'intelligence artificielle, c'est dans une période charnière que l'on est aujourd'hui placé tant la démocratisation de ces techniques préparent une nouvelle explosion des traitements de données. Aussi, l'Union européenne s'est-elle employée à refondre sa législation vieille de vingt-deux ans, en adoptant un Règlement (le « RGPD[1] ») qui entrera en application dans un an, le 25 mai 2018. La tâche qui attend ce texte est immense, et il n'est pas inutile de faire un tour (sélectif) des lieux afin d'essayer d'apprécier s'il sera à la hauteur.
Un changement d'approche Jusqu'à présent, l'attention des entreprises était souvent monopolisée par le seul sommet de l'iceberg : les déclarations ou autorisations auprès de la CNIL, obligatoires avant la mise en uvre des traitements. Ces formalités préalables ont parfois caché la forêt, c'est-à-dire la nécessité de s'assurer que les traitements de données personnelles respectent effectivement, en pratique, toutes les dispositions de la loi. Avec le RGPD, les formalités préalables sont abandonnées (sauf quelques exceptions). Le maître mot du Règlement est celui de « responsabilisation » : c'est aux entreprises de tenir le registre des traitements qu'elles mettent en place, c'est également à elles de déterminer en amont l'impact que pourront avoir leurs projets sur les données personnelles, et d'en tirer les conséquences. A cela s'imbrique l'obligation de respecter le principe dit de « privacy by design » : penser la protection des données personnelles au stade de la conception même des produits et services ; celui de « privacy by default », qui s'attache aux paramétrages de base de ces produits et services ; mais également celui de « minimisation des données », qui encourage les entreprises à ne pas collecter plus de données que de besoin. En somme, le Règlement signe l'âge de la maturité pour la protection des données personnelles, qui doit désormais être pleinement appréhendée par les entreprises au même rang que les législations fiscales, ou sociales, etc. Pour les aider, elles pourront - ou devront -, désigner un « délégué à protection des données », nouveau métier pour lequel des formations ont déjà été mises en place, comme par exemple à l'Université Paris II[2]. Un changement d'ampleur Pour convaincre, le RGPD s'est doté d'un argument imparable : les sanctions. En 2018, les CNIL européennes pourront prononcer des sanctions pouvant s'élever à 20 millions d'euros, et surtout pour les personnes morales jusqu'à à 4% du chiffre d'affaire annuel mondial (plusieurs milliards d'euros pour certains). A titre de comparaison, le plafond des sanctions en France était jusqu'à très récemment de 300.000 euros (en cas de récidive)[3]. Cela devrait permettre définitivement à la protection des données personnelles de ne plus être à la traîne sur les listes de priorités. Cela devrait surtout permettre de débloquer les budgets nécessaires sur un poste essentiel : la sécurité des systèmes d'information, qui est un point clef de la protection des données (qu'elles soient personnelles ou autres : financières, scientifiques etc.). L'impressionnante et récente « attaque » WannaCry[4] n'est que la suite d'une série d'offensives et de piratages largement médiatisés ; lesquelles pourraient bien n'être que prémices si rien n'est fait. En outre, par-delà les actes malveillants, il y a surtout les failles, les négligences et les lacunes en tout genre. Il faut donc espérer que le RGPD saura réveiller la culture de la sécurité informatique en France et en Europe. Quelques demi-teintes Du côté des particuliers dont les données sont traitées, le RGPD ne devrait pas bousculer les choses. Les droits « nouveaux » ne sont pas des plus convaincants, à l'image de ce droit présenté en sous-titre comme le fameux « droit à l'oubli », qui n'est en réalité que le droit d'obtenir la suppression des données lorsque leur traitement n'est pas (ou plus) conforme au Règlement... ce qui n'est pas d'une logique révolutionnaire. L'on peut tout de même souligner l'apparition d'un droit à la portabilité des données, destiné à favoriser la concurrence entre les entreprises en permettant aux particuliers de passer de l'une à l'autre plus facilement. Le RGPD n'oublie pas les techniques de traitements faisant appel à l'intelligence artificielle, puisqu'il modifie les règles existantes et permet aux individus de s'opposer à ce qu'une décision à leur égard ne soit prise de manière purement automatique (par exemple : le refus d'un crédit). Dans ce cadre, le RGPD va même jusqu'à reconnaître le droit pour les individus « d'obtenir une intervention humaine », ce qui pourra laisser songeur. Au-delà, les droits des particuliers consistent surtout à être informés pour pouvoir agir en toute connaissance de cause. Le RGPD risque ici d'être contre-productif car le texte allonge déraisonnablement la liste des mentions d'information obligatoires. Or, la complexification de l'information mène souvent à son inintelligibilité, de sorte que les individus risquent d'être moins bien informés après le RGPD. Ce point fait écho à un autre point clef de la protection des données personnelles. En effet, les données personnelles sont déjà partout, disséminées et divulguées par les individus eux-mêmes qui n'y voient la plupart du temps aucun problème car le monde numérique reste encore trop virtuel. Dans ce cadre, il est un peu vain d'imposer aux entreprises de ne collecter que le strict nécessaire si le reste leur est offert de bon c ur. Il y a donc un équilibre à trouver, et le RGPD ne réussira pas seul, car l'enjeu est très largement un enjeu de société et d'éducation. (*) Suivre Sylvain Naillat sur Twitter, qui exerce dans le domaine du droit des nouvelles technologies, des données personnelles et de la propriété intellectuelle.
[1] Règlement Général sur la Protection des Données. [2] https://www.u-paris2.fr/fr/formations/offre-de-formation/llm-mba-et-diplomes-duniversite/diplome-duniversite-delegue-la-protection-des [3] Depuis la loi « République Numérique » du 9 octobre 2016, le plafond a été augmenté à 3 millions d'euros. [4] ORLM : après WannaCry, faut-il avoir peur des rançongiciels ?
Sylvain Naillat.
DATE-CHARGEMENT: 30 Mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
473 of 500 DOCUMENTS
Le Figaro Online
mardi 30 mai 2017 08:29 PM GMT
Le grand chantier des données personnelles
AUTEUR: Elisa Braun; ebraun@lefigaro.fr
RUBRIQUE: ACTUALITÉS TECH; Tech & Web; Tech & Web
LONGUEUR: 1050 mots
ENCART: Deux textes de loi vont redistribuer les cartes de l'économie des données et soulèvent des inquiétudes.
Mai 2018 marquera un tournant pour les citoyens européens. Dans un an, deux règlements vont revoir en profondeur la protection de leurs données personnelles, ces informations comme l'adresse e-mail, la photo ou encore l'adresse IP qui permettent d'identifier quelqu'un sur Internet. Lerèglement général pour la protection des données personnelles (RGDP) et le règlement ePrivacy, qui l'accompagne, sont le fruit de dix années de négociations à Bruxelles. Ce sont aussi les textes qui ont fait l'objet de la plus intense campagne de lobbying de toute l'histoire de la Commission européenne, selon plusieurs témoignages recueillis par Le Figaro.
Les entreprises américaines comme Apple, Amazon, Google,Facebook et Microsoft sont directement visées par ces règlements, beaucoup plus stricts que la directive de 1995 - qui leur a longtemps permis de se soustraire aux règles du jeu en matière d'économie des données. Aujourd'hui au coeur de l'économie mondiale,ce marché des données personnelles, qui permet notamment d'adresser de la publicité ciblée, va être plus fermement encadré en Europe que partout ailleurs dans le monde. L'ensemble des acteurs qui traitent les données de citoyens européens, comme les éditeurs de presse, de service et de publicités en ligne, sont également concernés par ce grand chambardement.
Jusqu'à 20 millions d'euros d'amende
Pour faire respecter le nouveau règlement, les autorités de protections des données des États membres auront de nouveaux pouvoirs. Avec le RGPD, les amendes pourront aller jusqu'à 4 % du chiffre d'affaires mondial et 20 millions d'euros, contre 3 millions d'euros aujourd'hui en France. Avec cet effet dissuasif, l'Union européenne veut homogénéiser une bonne fois pour toutes la protection des données de ses citoyens dans l'économie numérique, comme l'ont fait les normes sanitaires pour le secteur agroalimentaire.
Pour chaque nouveau projet impliquant le stockage ou le traitement des données personnelles d'un Européen, les entreprises devront rendre une étude d'impact à l'une des autorités de protection de données des États membres, qui approuvera le projet, le refusera ou proposera des alternatives. Bruxelles instaurera aussi un principe baptisé «privacy by default»: les internautes devront autoriser séparément chaque utilisation de leurs données. Il faudra cocher que l'on accepte que ses données soient transmises à des services publicitaires en naviguant sur un site Internet. Parmi les autres mesures phare, le RGPD affirme le «droit à l'oubli », en laissant la possibilité aux citoyens européens de demander aux entreprises d'effacer ou transférer leurs données sur simple requête.
Le règlement ePrivacy qui complète le RGDP introduit de nouvelles contraintes pour les médias, les services de télécommunications, de messagerie et de communications électroniques (comme WhatsApp ou Skype). Il demande à ces acteurs de se plier à des règles de sécurisation accrues et de se conformer à de nouvelles conditions de conservation de données, plus strictes.
Un an pour se mettre à jour
Les entreprises concernées ont encore un an pour se mettre en ordre de bataille. Ces derniers mois, un véritable business de mise en conformité au RGPD a fleuri pour rassurer les sociétés soucieuses de ne pas être prêtes au jour J. «Il s'agit surtout d'un guide de bonnes pratiques en matière de cybersécurité, un peu comme il existe des panneaux et extincteurs en cas d'incendie », explique Jean-François Pruvot, directeur régional France de l'entreprise de cybersécurité CyberArk.
Du côté des citoyens, le magistrat Guillaume Desgens-Pasanauredoute l'instauration d'une «véritable usine à gaz pour qui souhaite formuler une demande, puisque avant d'agir, la Cnil devra se concerter avec d'autres régulateurs européens». Le règlement ePrivacy, lui, fait l'objet de nombreuses discussions entre la Commission européenne et les acteurs dont l'activité est de récolter des données. Beaucoup redoutent de devoir entièrement revoir leur modèle économique au regard de ces nouveaux textes. Ainsi, dans une lettre ouverte du 29 mai, les grands éditeurs de presse européens réclament la révision de ce règlement. Selon eux, il aurait pour effet de les empêcher de proposer des publicités ciblées à leurs lecteurs, et donc les affaiblirait économiquement. Et en même temps, ce texte renforcerait paradoxalement les géants du Web qui, à travers leurs multiples services, réussissent à collecter bien plus de données que tous les éditeurs de presse réunis. Les Gafa pourraient mieux réussir à s'accommoder de ces nouvelles contraintes, ce que déplorent fermement les éditeurs.
Les débats autour de ces deux règlements sont loin d'être achevés. Chaque État membre doit encore adapter ses propres lois aux exigences de Bruxelles. Les multinationales ont l'habitude de s'implanter là où la réglementation est la plus avantageuse, ce que l'on appelle le «forum shopping». Dans le champ de la fiscalité, Facebook, Apple ou Google ont tous choisi l'Irlande pour sa souplesse. L'Allemagne a tenté d'attirer les entreprises avec une adaptation du RGPD bien plus souple que le texte européen.
Sa première proposition de transposition était «d'une interprétation juridique en faveur des milieux d'affaires, poussée par le lobby des grandes entreprises du numérique», dénonce Jan Albrecht, député européen Les Verts. Face aux critiques de la société civile et aux risques de poursuites par l'Union européenne, Berlin a revu sa copie. «Tous les pays sont sous pression», ajoute Jan Albrecht. «L'Union européenne surveille de près la mise en conformité des différents États, puisque le but du règlement est d'éviter les disparités entre membres», soutient Giovanni Buttarelli, contrôleur européen des données personnelles.
Difficile pourtant de surveiller les adaptations de chacun. «L'ensemble des pays européens accuse globalement un certain retard», observe encore Giovanni Buttarelli. Seule l'Allemagne est déjà prête. Aux Pays-Bas, une concertation publique vient seulement d'être close et le gouvernement devrait bientôt présenter son projet de loi. En Autriche, la concertation est toujours en cours. Le Conseil du gouvernement luxembourgeois devrait quant à lui commencer à s'en occuper cet été. En France, un premier texte devrait être présenté d'ici au mois de septembre.
DATE-CHARGEMENT: 30 mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Figaro
Tous droits réservés
474 of 500 DOCUMENTS
Le Figaro
Mardi 30 Mai 2017
Le grand chantier des données personnelles;
Deux textes de loi vont redistribuer les cartes de l'économie des données et soulèvent des inquiétudes.
AUTEUR: Braun, Elisa
RUBRIQUE: TECH; Pg. 27 N° 22644
LONGUEUR: 1067 words
INTERNET
Mai 2018 marquera un tournant pour les citoyens européens. Dans un an, deux règlements vont revoir en profondeur la protection de leurs données personnelles, ces informations comme l'adresse e-mail, la photo ou encore l'adresse IP qui permettent d'identifier quelqu'un sur Internet. Le règlement général pour la protection des données personnelles (RGDP) et le règlement ePrivacy, qui l'accompagne, sont le fruit de dix années de négociations à Bruxelles. Ce sont aussi les textes qui ont fait l'objet de la plus intense campagne de lobbying de toute l'histoire de la Commission européenne, selon plusieurs témoignages recueillis par Le Figaro.
Les entreprises américaines comme Apple, Amazon, Google, Facebook et Microsoft sont directement visées par ces règlements, beaucoup plus stricts que la directive de 1995 - qui leur a longtemps permis de se soustraire aux règles du jeu en matière d'économie des données. Aujourd'hui au coeur de l'économie mondiale, ce marché des données personnelles, qui permet notamment d'adresser de la publicité ciblée, va être plus fermement encadré en Europe que partout ailleurs dans le monde. L'ensemble des acteurs qui traitent les données de citoyens européens, comme les éditeurs de presse, de service et de publicités en ligne, sont également concernés par ce grand chambardement.
Jusqu'à 20 millions d'euros d'amende
Pour faire respecter le nouveau règlement, les autorités de protections des données des États membres auront de nouveaux pouvoirs. Avec le RGPD, les amendes pourront aller jusqu'à 4 % du chiffre d'affaires mondial et 20 millions d'euros, contre 3 millions d'euros aujourd'hui en France. Avec cet effet dissuasif, l'Union européenne veut homogénéiser une bonne fois pour toutes la protection des données de ses citoyens dans l'économie numérique, comme l'ont fait les normes sanitaires pour le secteur agroalimentaire.
Pour chaque nouveau projet impliquant le stockage ou le traitement des données personnelles d'un Européen, les entreprises devront rendre une étude d'impact à l'une des autorités de protection de données des États membres, qui approuvera le projet, le refusera ou proposera des alternatives. Bruxelles instaurera aussi un principe baptisé « privacy by default » : les internautes devront autoriser séparément chaque utilisation de leurs données. Il faudra cocher que l'on accepte que ses données soient transmises à des services publicitaires en naviguant sur un site Internet. Parmi les autres mesures phare, le RGPD affirme le « droit à l'oubli », en laissant la possibilité aux citoyens européens de demander aux entreprises d'effacer ou transférer leurs données sur simple requête.
Le règlement ePrivacy qui complète le RGDP introduit de nouvelles contraintes pour les médias, les services de télécommunications, de messagerie et de communications électroniques (comme WhatsApp ou Skype). Il demande à ces acteurs de se plier à des règles de sécurisation accrues et de se conformer à de nouvelles conditions de conservation de données, plus strictes.
Un an pour se mettre à jour
Les entreprises concernées ont encore un an pour se mettre en ordre de bataille. Ces derniers mois, un véritable business de mise en conformité au RGPD a fleuri pour rassurer les sociétés soucieuses de ne pas être prêtes au jour J. « Il s'agit surtout d'un guide de bonnes pratiques en matière de cybersécurité, un peu comme il existe des panneaux et extincteurs en cas d'incendie », explique Jean-François Pruvot, directeur régional France de l'entreprise de cybersécurité CyberArk.
Du côté des citoyens, le magistrat Guillaume Desgens-Pasanau redoute l'instauration d'une « véritable usine à gaz pour qui souhaite formuler une demande, puisque avant d'agir, la Cnil devra se concerter avec d'autres régulateurs européens ». Le règlement ePrivacy, lui, fait l'objet de nombreuses discussions entre la Commission européenne et les acteurs dont l'activité est de récolter des données. Beaucoup redoutent de devoir entièrement revoir leur modèle économique au regard de ces nouveaux textes. Ainsi, dans une lettre ouverte du 29 mai, les grands éditeurs de presse européens réclament la révision de ce règlement. Selon eux, il aurait pour effet de les empêcher de proposer des publicités ciblées à leurs lecteurs, et donc les affaiblirait économiquement. Et en même temps, ce texte renforcerait paradoxalement les géants du Web qui, à travers leurs multiples services, réussissent à collecter bien plus de données que tous les éditeurs de presse réunis. Les Gafa pourraient mieux réussir à s'accommoder de ces nouvelles contraintes, ce que déplorent fermement les éditeurs.
Les débats autour de ces deux règlements sont loin d'être achevés. Chaque État membre doit encore adapter ses propres lois aux exigences de Bruxelles. Les multinationales ont l'habitude de s'implanter là où la réglementation est la plus avantageuse, ce que l'on appelle le « forum shopping ». Dans le champ de la fiscalité, Facebook, Apple ou Google ont tous choisi l'Irlande pour sa souplesse. L'Allemagne a tenté d'attirer les entreprises avec une adaptation du RGPD bien plus souple que le texte européen.
Sa première proposition de transposition était « d'une interprétation juridique en faveur des milieux d'affaires, poussée par le lobby des grandes entreprises du numérique », dénonce Jan Albrecht, député européen Les Verts. Face aux critiques de la société civile et aux risques de poursuites par l'Union européenne, Berlin a revu sa copie. « Tous les pays sont sous pression », ajoute Jan Albrecht. « L'Union européenne surveille de près la mise en conformité des différents États, puisque le but du règlement est d'éviter les disparités entre membres », soutient Giovanni Buttarelli, président du groupe de travail qui regroupe les autorités de protection des données de l'Union européenne, le G29.
Difficile pourtant de surveiller les adaptations de chacun. « L'ensemble des pays européens accuse globalement un certain retard », observe encore Giovanni Buttarelli. Seule l'Allemagne est déjà prête. Aux Pays-Bas, une concertation publique vient seulement d'être close et le gouvernement devrait bientôt présenter son projet de loi. En Autriche, la concertation est toujours en cours. Le Conseil du gouvernement luxembourgeois devrait quant à lui commencer à s'en occuper cet été. En France, un premier texte devrait être présenté d'ici au mois de septembre. -
DATE-CHARGEMENT: 29 Mai 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: LA CNIL ET SA PRESIDENTE, ISABELLE FALQUE-PIERROTIN
La présidente de la Cnil, Isabelle Falque-Pierrotin, ici entourée de ses collaborateurs, pendant une présentation du logiciel Cookieviz conçu par ses ingénieurs. Ce programme gratuit permet de visualiser la façon dont les informations personnelles sur les utilisateurs s'échangent entre sites, à l'insu des internautes.
S. SORIANO/Le Figaro
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous droits réservés
475 of 500 DOCUMENTS
Le Figaro Économie
Mardi 30 Mai 2017
Le grand chantier des données personnelles
AUTEUR: Braun, Elisa
RUBRIQUE: TECH; Pg. 27 N° 22644
LONGUEUR: 1068 mots
INTERNET Mai 2018 marquera un tournant pour les citoyens européens. Dans un an, deux règlements vont revoir en profondeur la protection de leurs données personnelles, ces informations comme l'adresse e-mail, la photo ou encore l'adresse IP qui permettent d'identifier quelqu'un sur Internet. Le règlement général pour la protection des données personnelles (RGDP) et le règlement e Privacy, qui l'accompagne, sont le fruit de dix années de négociations à Bruxelles. Ce sont aussi les textes qui ont fait l'objet de la plus intense campagne de lobbying de toute l'histoire de la Commission européenne, selon plusieurs témoignages recueillis par Le Figaro.Les entreprises américaines comme Apple, Amazon, Google, Facebook et Microsoft sont directement visées par ces règlements, beaucoup plus stricts que la directive de 1995 - qui leur a longtemps permis de se soustraire aux règles du jeu en matière d'économie des données. Aujourd'hui au coeur de l'économie mondiale, ce marché des données personnelles, qui permet notamment d'adresser de la publicité ciblée, va être plus fermement encadré en Europe que partout ailleurs dans le monde. L'ensemble des acteurs qui traitent les données de citoyens européens, comme les éditeurs de presse, de service et de publicités en ligne, sont également concernés par ce grand chambardement.
Jusqu'à 20 millions d'euros d'amende
Pour faire respecter le nouveau règlement, les autorités de protections des données des États membres auront de nouveaux pouvoirs. Avec le RGPD, les amendes pourront aller jusqu'à 4 % du chiffre d'affaires mondial et 20 millions d'euros, contre 3 millions d'euros aujourd'hui en France. Avec cet effet dissuasif, l'Union européenne veut homogénéiser une bonne fois pour toutes la protection des données de ses citoyens dans l'économie numérique, comme l'ont fait les normes sanitaires pour le secteur agroalimentaire. Pour chaque nouveau projet impliquant le stockage ou le traitement des données personnelles d'un Européen, les entreprises devront rendre une étude d'impact à l'une des autorités de protection de données des États membres, qui approuvera le projet, le refusera ou proposera des alternatives. Bruxelles instaurera aussi un principe baptisé « privacy by default » : les internautes devront autoriser séparément chaque utilisation de leurs données. Il faudra cocher que l'on accepte que ses données soient transmises à des services publicitaires en naviguant sur un site Internet. Parmi les autres mesures phare, le RGPD affirme le « droit à l'oubli », en laissant la possibilité aux citoyens européens de demander aux entreprises d'effacer ou transférer leurs données sur simple requête.Le règlement e Privacy qui complète le RGDP introduit de nouvelles contraintes pour les médias, les services de télécommunications, de messagerie et de communications électroniques (comme Whats App ou Skype). Il demande à ces acteurs de se plier à des règles de sécurisation accrues et de se conformer à de nouvelles conditions de conservation de données, plus strictes.
Un an pour se mettre à jour
Les entreprises concernées ont encore un an pour se mettre en ordre de bataille. Ces derniers mois, un véritable business de mise en conformité au RGPD a fleuri pour rassurer les sociétés soucieuses de ne pas être prêtes au jour J. « Il s'agit surtout d'un guide de bonnes pratiques en matière de cybersécurité, un peu comme il existe des panneaux et extincteurs en cas d'incendie », explique Jean-François Pruvot, directeur régional France de l'entreprise de cybersécurité Cyber Ark. Du côté des citoyens, le magistrat Guillaume Desgens-Pasanau redoute l'instauration d'une « véritable usine à gaz pour qui souhaite formuler une demande, puisque avant d'agir, la Cnil devra se concerter avec d'autres régulateurs européens ». Le règlement e Privacy, lui, fait l'objet de nombreuses discussions entre la Commission européenne et les acteurs dont l'activité est de récolter des données. Beaucoup redoutent de devoir entièrement revoir leur modèle économique au regard de ces nouveaux textes. Ainsi, dans une lettre ouverte du 29 mai, les grands éditeurs de presse européens réclament la révision de ce règlement. Selon eux, il aurait pour effet de les empêcher de proposer des publicités ciblées à leurs lecteurs, et donc les affaiblirait économiquement. Et en même temps, ce texte renforcerait paradoxalement les géants du Web qui, à travers leurs multiples services, réussissent à collecter bien plus de données que tous les éditeurs de presse réunis. Les Gafa pourraient mieux réussir à s'accommoder de ces nouvelles contraintes, ce que déplorent fermement les éditeurs.Les débats autour de ces deux règlements sont loin d'être achevés. Chaque État membre doit encore adapter ses propres lois aux exigences de Bruxelles. Les multinationales ont l'habitude de s'implanter là où la réglementation est la plus avantageuse, ce que l'on appelle le « forum shopping ». Dans le champ de la fiscalité, Facebook, Apple ou Google ont tous choisi l'Irlande pour sa souplesse. L'Allemagne a tenté d'attirer les entreprises avec une adaptation du RGPD bien plus souple que le texte européen.Sa première proposition de transposition était « d'une interprétation juridique en faveur des milieux d'affaires, poussée par le lobby des grandes entreprises du numérique », dénonce Jan Albrecht, député européen Les Verts. Face aux critiques de la société civile et aux risques de poursuites par l'Union européenne, Berlin a revu sa copie. « Tous les pays sont sous pression », ajoute Jan Albrecht. « L'Union européenne surveille de près la mise en conformité des différents États, puisque le but du règlement est d'éviter les disparités entre membres », soutient Giovanni Buttarelli, président du groupe de travail qui regroupe les autorités de protection des données de l'Union européenne, le G29.Difficile pourtant de surveiller les adaptations de chacun. « L'ensemble des pays européens accuse globalement un certain retard », observe encore Giovanni Buttarelli. Seule l'Allemagne est déjà prête. Aux Pays-Bas, une concertation publique vient seulement d'être close et le gouvernement devrait bientôt présenter son projet de loi. En Autriche, la concertation est toujours en cours. Le Conseil du gouvernement luxembourgeois devrait quant à lui commencer à s'en occuper cet été. En France, un premier texte devrait être présenté d'ici au mois de septembre. -
DATE-CHARGEMENT: 29 Mai 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: LA CNIL ET SA PRESIDENTE, ISABELLE FALQUE-PIERROTIN
La présidente de la Cnil, Isabelle Falque-Pierrotin, ici entourée de ses collaborateurs, pendant une présentation du logiciel Cookieviz conçu par ses ingénieurs. Ce programme gratuit permet de visualiser la façon dont les informations personnelles sur les utilisateurs s'échangent entre sites, à l'insu des internautes.
S. SORIANO/Le Figaro
TYPE-PUBLICATION: Journal
Copyright 2017 Le Figaro
Tous Droits Réservés
476 of 500 DOCUMENTS
Challenges
24 mai 2017
Edition 1
Cloud et protection des données personnelles
AUTEUR: Propos recueillis par Chloé Belleret
RUBRIQUE: DOSSIER LES BATAILLES DU CLOUD; Pg. 76
LONGUEUR: 640 mots
Création de labels, implantation dans l'hexagone de data centers par les géants américains... Les acteurs du cloud emploient les grands moyens pour rassurer des clients inquiets pour la sécurité de leurs données. Mais les nouvelles obligations relatives aux informations personnelles pourraient contrarier cette opération-séduction.
Dernière ligne droite pour se conformer aux exigences du règlement européen visant à moderniser et à harmoniser la protection des données personnelles (RGPD). Ce texte entrera en effet en application le 24 mai 2018. Dense et pas toujours précis, il impose de nouvelles contraintes aux entreprises qui collectent, conservent, transmettent, etc., des données relatives aux résidents de l'Union européenne (logins, adresses IP, fichiers clients...). Quelles en sont les grandes lignes ? Comment parvenir à concilier migration vers le cloud et impératifs communautaires ? Les explications de maître Olivier Iteanu, avocat spécialisé à Paris.
Que change le nouveau règlement ? Le texte renforce les obligations des entreprises, quelle que soit leur taille. Il s'applique dès lors que les données concernent une personne physique identifiée ou identifiable établie dans l'UE. En plus d'étendre la responsabilité aux sous-traitants qui manipulent ce type de données pour le compte d'une entreprise (et donc aux prestataires de services cloud), il muscle le pouvoir des « Cnil européennes », les commissions de l'informatique et des libertés. Elles pourront, en cas d'infractions, distribuer des amendes administratives pouvant s'élever jusqu'à 4 % du chiffre d'affaires annuel mondial de l'entreprise (contre 150 000 euros aujourd'hui).
L'inquiétude qui entoure l'application du règlement estelle justifiée ? Non. Il faut en finir avec le marketing de la peur. Le discours catastrophiste qu'on entend est exagéré : il n'y a pas de rupture avec les grands principes des textes qu'il abroge [directive 95/46/CE, NDLR] ou remplace [la vieille loi informatique et libertés de 1978 qui a institué la Cnil, NDLR]. Les entreprises sont désormais tenues de prendre toutes les « précautions nécessaires » pour protéger les données personnelles, là où elles devaient prendre « toutes dispositions utiles ». Elles n'auront plus à faire de déclaration en amont à la Cnil, mais devront lui signaler dans les soixante-douze heures tout incident mettant en péril la protection des données (attaque, faille...). En cas de « traitement à risque », elles devront satisfaire à davantage d'obligations : nommer un délégué à la protection des données, réaliser un audit d'impact (en interne ou en externe) et tenir un registre d'activité des traitements.
Qu'entend-on par « traitement à risque » ? Le règlement parle de « gros volumes », mais n'apporte pas de définition claire. Ce sera aux Cnil de l'UE [regroupées dans un Comité européen de protection des données, NDLR] de le faire. Néanmoins, il est facile d'imaginer que seront concernés d'office des traitements comme les « listes noires » de mauvais payeurs (par exemple dans la téléphonie) et les données de santé.
Quels autres aménagements prévoir ? Il peut être utile de se munir en interne d'une charte afin d'alerter les salariés sur les dangers du Shadow IT [l'utilisation sauvage de services cloud, non validée par l'entreprise, NDLR]. Surtout, il est important de bien choisir ses sous-traitants, en préférant par exemple un prestataire cloud de bonne réputation, ayant les moyens techniques et organisationnels de protéger la sécurité et la confidentialité des données personnelles et qui soit basé en Europe. On imagine mal, en pratique, les Cnil européennes organiser des contrôles inopinés outre-Atlantique pour vérifier la conformité au règlement RGPD.
Propos recueillis par Chloé Belleret
Maître Olivier Iteanu, avocat spécialisé à Paris
Il faut en finir avec le
marketing de la peur
DATE-CHARGEMENT: May 24, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: CHA
Copyright 2017 Challenges
tous droits réservés
477 of 500 DOCUMENTS
Revue Banque
24 mai 2017
Autour du statut des données de compte de paiement
RUBRIQUE: DROIT DES MOYENS ET SERVICES DE PAIEMENT
LONGUEUR: 1587 mots
ENCART: Creusons le statut des données de compte, à la croisée entre deux récents textes majeurs : la 2e directive sur les services de paiement (DSP 2 - Dir. (UE) 2015/2366, 25 nov. 2015) et le règlement général sur la protection des données (RGPD - Règl. (UE) 2016/679, 27 avr. 2016).
1. Introduction. Par données de compte (de paiement), nous évoquons les données auxquelles un utilisateur de services de paiement :
- peut donner accès, à un prestataire sans compte, en vertu du service d'information sur les comptes, nouveau service 8 de la DSP 2 ;
- peut y donner accès dans les termes de l'article 67 de la DSP 2 portant sur les « règles relatives à l'accès aux données des comptes de paiement et à l'utilisation de ces données en cas de services d'information sur les comptes ».
On a déjà regretté[1] que les données de compte ne soient pas définies dans la DSP 2, mais seulement circonscrites par ces deux bornes : le Prestataire de services d'information sur les comptes (PSIC) n'accède qu'aux informations provenant des comptes de paiement désignés et des opérations de paiement associées (art. 67, 2, d) ; ne demande pas de données de paiement sensibles[2] liées à des comptes de paiement (art. 98, 2, e). Étant ajouté que, fort de ce service, le consommateur dispose « des informations agrégées en ligne concernant un ou plusieurs comptes paiement qu'il détient auprès d'un ou plusieurs autres prestataires de services de paiement », de sorte qu'il est « en mesure d'avoir immédiatement une vue d'ensemble de sa situation financière à un moment donné » (cons. 28).
Pour autant, la seule chose dont l'on soit sûr est que ces données de compte le sont de comptes de paiement, de ces comptes qui sont utilisés aux fins de l'exécution d'opérations de paiement (art. 4, 12). On s'étonne dès lors, si l'on en croit la presse, que la direction générale du Trésor, en charge de la rédaction de l'ordonnance de transposition de la DSP 2, ait envisagé d'élargir le droit d'accès aux comptes d'épargne, peut-être même aux comptes titres et aux contrats d'assurance vie[3]. Car quelle que soit la pertinence d'une telle ouverture, elle ne peut se prévaloir ni de la lettre, ni même de l'esprit de la DSP 2[4].
I. Les données de compte en situation
2. Protection par le secret professionnel. Selon par qui elles seront détenues, les données de compte, que l'on pressent confidentielles (au sens des articles du Code monétaire et financier sur le secret professionnel) sont à l'évidence protégées par le secret professionnel auquel sont tenus les établissements de crédit, les établissements de paiement et les établissements de monnaie électronique (cf. CMF, art. L. 511-33, L. 522-19 et L. 526-35).
Si bien que, par construction, le consentement explicite que l'utilisateur de services de paiement donnera au PSIC (DSP 2, art. 67, 2, a) devra valoir, à un titre ou à un autre, levée - indirecte, mais au profit d'une personne réglementée - du secret à l'égard du prestataire de services de paiement gestionnaire du compte (PSPGC). Sans doute faudra-t-il en faire mention dans la convention de compte ou le contrat-cadre de services de paiement passés avec ce dernier.
À prendre l'exemple du secret bancaire, et faute de se trouver dans l'hypothèse générale de levée de celui-ci vis-à-vis des personnes avec lesquelles les établissements de crédit négocient, concluent ou exécutent les opérations définies par l'article L. 511-33, on tombera dans la règle qui veut que lesdits établissements « peuvent communiquer des informations couvertes par le secret professionnel au cas par cas et uniquement lorsque les personnes concernées leur ont expressément permis de le faire » (CMF, art. 511-33, al. 4).
3. Protection par le droit des données à caractère personnel. Il ne fait guère de doute que les données de compte souscrivent à la définition des données à caractère personnel posée à l'article 4, 1) du RGPD : « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Au demeurant, parmi les règles relatives à l'accès aux données des comptes de paiement et à l'utilisation de ces données en cas de services d'information sur les comptes, figure l'obligation faite au PSIC de n'utiliser, ne consulter ou ne stocker des données à des fins autres que la fourniture du service d'information sur les comptes « expressément demandée » par l'utilisateur de services de paiement, « conformément aux règles relatives à la protection des données » (DSP 2, art. 67, 2, f). Où l'on retrouve l'un des principes directeurs du RGPD : le principe de finalité (art. 5, b), appuyé par l'exigence générale du consentement explicite de l'utilisateur, dès lors que « les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement explicite de l'utilisateur de services de paiement » (DSP 2, art. 94, 2).
De sorte que les « fameuses » normes techniques de réglementation concernant l'authentification forte et la communication devront « garantir la sécurité des fonds et des données à caractère personnel des utilisateurs de services de paiement » (DSP 2, art. 98, 2, b) et, au premier rang d'entre elles, des données de sécurité personnalisées ; ce que l'on ne retrouve au demeurant pas bien dans le Draft Regulatory Technical Standards on Strong Customer Authentification and common and secure communication under Article 98 of Directive 2015/2366 (PSD2) du 23 février 2017).
II. Les données de compte en mouvement
4. Les données de compte sont mobiles. On vise par là le droit nouveau de la mobilité bancaire (de la mobilité du compte de paiement à proprement parler), qui voit le PSPGC se muer en « prestataire de services de paiement transmetteur » au bénéfice d'une « prestataire de services de paiement destinataire », selon les termes de la directive Comptes de paiement[5] ; d'« établissement de départ » et d'« établissement d'arrivée » selon ceux du Code monétaire et financier.
La transmission des données de compte est bien au coeur du service de changement de compte, ainsi défini : « "changement de compte" ou "service de changement de compte" : la demande du consommateur, soit la communication d'un prestataire de services de paiement à un autre, d'informations concernant tout ou partie des ordres permanents de virements, des prélèvements récurrents et des virements entrants récurrents exécutés sur un compte de paiement, soit le transfert de tout solde positif de ce compte de paiement sur un autre compte, ou les deux, qu'il y ait ou non clôture du premier compte de paiement » (Dir. Comptes de paiement, art. 2, 18).
En fait de changement de compte, il semble plutôt que ce soit les données de compte qui « élisent domicile » dans un autre établissement, si l'on en croit le vocabulaire utilisé par l'article L. 312-1-7 du CMF : « L'établissement d'arrivée, qui ouvre le nouveau compte de dépôt dans le cadre du changement de domiciliation bancaire, propose au client, gratuitement et sans condition, un service d'aide à la mobilité bancaire permettant un changement automatisé des domiciliations bancaires, vers le nouveau compte, des prélèvements valides et virements récurrents du compte d'origine » (III, al. 1). Quant à l'établissement de départ, le souvenir de son ancien client devra être entretenu treize mois durant après la clôture du compte, pendant lesquels il devra l'informer - gratuitement - de la présentation de toute opération de virement ou de prélèvement ou de chèque sur compte clos...
5. Les données de compte sont portables. Et puis et enfin (sans être exhaustif), le droit d'agréger ses données de compte se double de celui, très à la mode, à leur portabilité ; portabilité au sens de l'article 20 du RGPD : « les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle ».
Il n'y a pas de raison qu'échappent au droit général à la portabilité les données de compte, du moins lorsqu'elles présentent (mais ce sera le plus souvent le cas) un caractère personnel. D'autant moins de raison que la DSP 2, sans doute (rappelons qu'elle n'octroie pas tant un droit d'exercer aux nouveaux prestataires sans compte qu'un droit aux consommateurs d'y faire appel), participe de cette intention du RGPD de renforcer, avec le droit à la portabilité, le contrôle que les personnes concernées exercent sur leurs propres données (RGPD, cons. 68).
Somme toute, les (pauvres) gestionnaires de comptes se voient ballotter de toutes parts : droit d'accès des PSIC, mobilité bancaire, portabilité des données à caractère personnel, celle-ci étant même devenue un droit du consommateur, dont le Code qui lui est dévolu prévoit depuis la loi pour une République numérique qu'il « dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données » (C. cons., art. L. 224-41-1). Tout cela donne presque l'impression que l'ère de l'open banking fraye déjà avec celle du free banking.
Achevé de rédiger le 15 mai 2017.
DATE-CHARGEMENT: 9 juillet 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
478 of 500 DOCUMENTS
IT for Business
22 mai 2017
Le rôle stratégique du délégué à la protection des données créé par le RGPD
RUBRIQUE: JURIDIQUE; Pg. 0024 N° 2217
LONGUEUR: 591 mots
LES FAITS
La création de la fonction de délégué à la protection des données (Data Protection Officier en anglais « DPO ») est au coeur du Règlement général de protection des données européen (RGPD) qui sera applicable dans tous les États membres d'ici un an, le 25 mai 2018. Les lignes directrices adoptées par le G29 dans leur version définitive le 5 avril 2017 clarifient ce nouveau cadre juridique.
En France, le DPO sera le naturel successeur de l'actuel Correspondant Informatique et Libertés (CIL). S'agissant de sa désignation, fini le seuil de 50 personnes. Elle sera obligatoire dans le secteur public, à l'exception des juridictions, quelle que soit la nature du traitement, comme pour les organismes privés, dès lors que les entreprises font des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles (religion, condamnations, santé, etc.). En dehors de ces cas, le G29 encourage fortement la désignation volontaire d'un DPO qui emportera sa soumission aux dispositions règlementaires le concernant. Le DPO sera le chef d'orchestre de la conformité des dispositifs internes au RGPD. À ce titre, il devra assister le responsable du traitement voire le sous-traitant, les conseiller, et émettre des recommandations sur toutes les problématiques liées à la protection des données à caractère personnel. Dans l'accomplissement de ses missions, le DPO appréciera les opérations de traitement eu égard aux risques associés à leurs nature, portée, contexte et finalités. Il réalisera à ce titre des analyses d'impact préalablement à la mise en oeuvre d'un traitement, en se prononçant sur la méthodologie, les mesures de sécurité et de protection à mettre en place à l'aulne des risques encourus. Le Règlement exclut expressément la responsabilité personnelle du DPO en cas de non-conformité, qui pèse uniquement par principe sur le responsable du traitement. Il appartiendra aussi au DPO de contrôler l'application concrète des règles régissant la matière, en particulier à l'occasion d'audits. Sa mission sera facilitée par une coopération régulière avec l'autorité de contrôle. À la différence du CIL, le DPO n'est pas nécessairement un employé de l'organisme, il peut être externalisé (il peut s'agir par exemple d'un avocat), voire être mutualisé au sein d'un groupe d'entreprises, à condition de démontrer qu'il peut se rendre aisément disponible. En effet, le DPO doit être en mesure de communiquer facilement avec les personnes concernées, lesquelles doivent le soutenir dans sa mission. Son autonomie devra être garantie par une mise à disposition des moyens matériels nécessaires à la réalisation de sa mission. Ainsi, son rôle et ses missions en font le pivot dans la mise en place des principales dispositions novatrices du Règlement. À la fois facilitateur, contrôleur et conseil, son profil exige de fortes connaissances juridiques et techniques ainsi qu'une implication au niveau le plus élevé dans la structure qui l'a nommé. Précisons qu'en cas de non-respect de cette réglementation, les sanctions sont lourdes, celles-ci pouvant aller jusqu'à 10 M(EURO) ou, pour les entreprises, à 2 % du chiffre d'affaires annuel mondial. ·
CE QU'IL FAUT RETENIR
À la lumière des lignes directrices du G29, nul doute que le DPO a vocation à occuper une place centrale au sein des organismes et entreprises et qu'il sera doté de moyens et de garanties bien supérieurs à ceux dont les CIL disposent aujourd'hui. Obligatoire dès mai 2018, il convient donc d'anticiper dès à présent leur arrivée.
DATE-CHARGEMENT: May 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
479 of 500 DOCUMENTS
IT for Business
22 mai 2017
GRDF met le cap sur la data
AUTEUR: Marie Varandat
RUBRIQUE: DONNÉES; Pg. 0034, 0035, 0036 N° 2217
LONGUEUR: 1813 mots
ENCART: Au coeur de la transformation digitale de GRDF, la nouvelle infrastructure de données devient progressivement le point d'ancrage du système d'information et s'inscrit pleinement dans la stratégie de la société.
Àl'heure de la société numérique, la data est devenue fondamentale pour toutes les entreprises. Mais pour certaines plus que pour d'autres. Compteurs intelligents, énergies renouvelables, smartgrid... Le secteur énergétique se prépare à une mutation qui repose en partie sur le traitement de données. Pouvoir ajuster la production à la consommation (concept des smartgrids) implique des données de consommation si possible en temps réel. Sensibiliser les citoyens à la maîtrise de la demande énergétique suppose aussi de nouveaux services reposant sur ces mêmes données. « Et dans le secteur du gaz, il faut encore ajouter la dimension marketing, note Thien Than Trong, DSI de GRDF. Contrairement à l'électricité dont on ne peut se passer, le gaz est une énergie qui doit faire tous les jours la preuve de sa pertinence et nous faisons en sorte qu'il y ait de plus en plus de consommateurs. D'autant que nous sommes convaincus d'avoir un rôle à jouer dans les smartgrids de par la complémentarité du gaz avec les autres réseaux d'énergie, notamment parce que sa capacité de stockage permet de fournir de la flexibilité aux réseaux électriques décentralisés et de compenser la production intermittente des énergies renouvelables ».
THIEN THAN TRONG DSI DE GRDF
LE DSI
Nous avons la chance chez GRDF d'avoir un comité exécutif qui a très rapide-ment compris les enjeux de la démarche digitale et l'impact, par exemple, de l'IoT sur nos métiers. Rien que sur le réseau de gaz national, nous comptons actuellement 27 sites qui injectent du biométhane et qui, par là même, produisent de la donnée dans nos systèmes IT tous les jours. En mai, nous passons également dans la phase industrielle de notre projet de compteurs communicants gaz Gazpar. Plus de 150 000 sont déjà installés et nous prévoyons de monter en puissance pour en déployer environ deux millions par an. Essentiels, nos projets autour de la donnée sont au coeur de notre transformation et vont nous permettre de relever les enjeux de la transition énergétique. Le changement culturel est énorme, mais il a été grandement simplifié. Nous n'avons pas peur de nous remettre en cause pour nous améliorer, et c'est précisément ce que nous faisons tous les jours.
Comme beaucoup d'entreprises, GRDF dispose d'un système d'information organisé par métier, chacun possédant ses applications et, bien entendu, ses propres bases de données. Pour adresser les nouveaux enjeux du secteur énergétique, le principal opérateur du réseau de distribution de gaz naturel en France s'est doté d'un pôle en 2014, chargé de créer un socle commun pour les données. Baptisé Poseidon (Pôle de Stockage et d'Exploitation Intelligente des DONnées), le projet dépasse le cadre de la simple consolidation. « Il s'agit d'une démarche d'entreprise, explique Isabelle Vanouche, responsable du pôle données, avec un but précis : disposer de données de qualité consolidées pour accompagner nos projets et expérimenter de nouvelles choses dans le domaine de l'analyse et de l'exploration ».
L'opération est d'autant plus complexe que l'histoire de GRDF n'est pas simple. Créée en décembre 2007 dans le cadre de l'ouverture à la concurrence des marchés de l'énergie imposée par l'Union européenne, l'activité de la société existe en fait depuis plus de 60 ans. Héritiers de l'ex-EDF-GDF, les activités de distribu-tion de l'énergie ont été ainsi confiées à Enedis (ex-ERDF) pour l'électricité et à GRDF pour le gaz naturel en tant que filiales neutres, impartiales et indépendantes de leurs maisons mères respectives, EDF et Engie (ex-GDF-Suez). Résultat, les systèmes d'information de ces sociétés restent très imbriqués. GRDF partage, par exemple, des briques dans le domaine des ressources humaines avec Enedis, héritées de son passé avec EDF. Parallèlement, une partie de ses applications sont encore structurellement rattachées à Engie.
Faute d'avoir la main sur des pans entiers de son système d'information, GRDF a donc opté pour une approche peu intrusive de la consolidation. Les informations sont extraites au format brut des applications. Puis, en appui sur l'ETL d'Informatica et le MDM (master data management) de Semarchy, elles sont nettoyées, mises en qualité et enrichies par des données achetées ou provenant de partenaires avant d'être stockées dans un entrepôt regroupant notamment les données de référence. En soi, cette première étape constitue déjà un chantier colossal, GRDF devant à cette occasion mettre en place un vocabulaire commun. « Typiquement, il nous a fallu beaucoup d'échanges pour nous mettre d'accord sur la définition de ce qu'est un client, notion en théorie pourtant simple », explique Isabelle Vanouche.
Parallèlement, la société s'e s t dotée d'une infrastructure de données spatiales, d'un référentiel documentaire et, dans le cadre de sa politique open data, d'une plateforme pour diffuser les données ouvertes reposant sur les solutions d'Open-DataSoft. L'ensemble est hébergé sur l'infrastructure Exadata d'Oracle. « Nous n'excluons pas l'hypothèse Hadoop, remarque Isabelle Vanouche, mais nos données étant majoritairement structurées ou semi-structurées, nous n'en voyons pas l'utilité dans l'immédiat ».
250
250 applications interfacées, environ
15 M(EURO)
15 M(EURO) pour les projets sur la mise à disposition des données à l'externe
11 M
11 M de données quotidiennes de consommation à traiter d'ici 2022
Deux ans après le lancement de Poseidon, la société compte déjà huit projets en production qui exploitent le socle. Elle travaille actuellement sur 16 autres et en a déjà identifié 10 nouveaux qu'elle compte développer dans les prochains mois. Dans une logique de datalake, GRDF n'attaque pas directement son socle de données, préférant constituer des datamarts par projet. Une approche qu'elle applique également à ses « bacs à sable », espaces permettant le chargement de données par les métiers à des fins expérimentales. Équipés des outils de dataviz de Microstrategy ou de Tableau Software selon les besoins et contraintes de l'analyse, les collaborateurs ont ainsi gagné en autonomie tout en ayant la possibilité de participer au processus d'innovation de la société.
Parallèlement, GRDF a créé un datalab qui exploite également le socle pour mener des expérimentations. « Nous partons des questions soulevées par les métiers avec un processus clairement défini, précise Paul Fournier, responsable veille, innovation et dataLab de GRDF. Nous identifions les KPI business qui vont nous permettre de savoir si le résultat obtenu est pertinent. Si nous nous octroyons sans problème le droit à l'erreur, nous essayons de faire en sorte d'échouer rapidement afin de ne pas perdre de temps sur quelque chose qui ne marche pas. Une approche par itération et du "fail fast" très naturelle chez GRDF, héritée des méthodes agiles que nous pratiquons de longue date ». Pour mener à bien ce projet de datalab, GRDF s'est appuyée sur une équipe de 6 data scientists, recrutés pour l'essentiel en interne, et les outils de Dataiku. En moyenne, selon Paul Fournier, seulement un projet sur trois aboutit. Les causes d'échec varient entre de mauvais algorithmes et des questions mal posées. Mais au bout de trois ans, l'équipe compte déjà quelques succès notables dont la capacité à prédire la perte potentielle d'un client ou encore à mieux gérer le capacity planning de ses centres d'appel « Urgence Sécurité Gaz ». « Un simple changement d'algorithme nous a permis d'améliorer la prévision des charges des centres d'appel de 15 % », souligne le responsable du datalab. Dernièrement, l'équipe s'est aussi lancée dans le machine learning pour vérifier la conformité réglementaire de ses données avec le RGPD. Certaines applications contiennent des champs de commentaire libre, remplis par nos collaborateurs en contact avec les clients. « Notre objectif était de vérifier qu'ils ne contenaient pas d'informations entrant dans le cadre de l'élargissement du concept de données personnelles à de nouveaux éléments introduits par le RGPD, explique Paul Fournier. Dans un premier temps, nous avons obtenu beaucoup de faux-positifs ». Les résultats ont été vérifiés manuellement, un par un, sur un échantillon de données et réinjectés dans notre outil, ce qui lui a permis d'apprendre. « À partir de là, il a été très efficace et nous envisageons aujourd'hui d'étendre l'ana-lyse à l'ensemble de nos bases comportant des champs libres. À terme, elle sera même pratiquée en temps réel, empêchant ainsi tout stockage de données non conformes », prévoit Paul Fournier.
DIDIER SALLES DÉLÉGUÉ À LA SÉCURISATION DES DONNÉES
TÉMOIGNAGE
POSEIDON, SOCLE DE LA CONFORMITÉ RÉGLEMENTAIRE
L e projet de socle de données n'a pas été déclenché par des besoins de sécurité, mais il en est devenu le point central, notamment dans le cadre de la mise en conformité de nos systèmes d'information avec le RGPD. Nous appliquons systématiquement le principe de privacy by design à chaque nouveau projet. Et l'opération est loin d'être simple, notamment dans le domaine des données personnelles : typiquement, un compteur qui ne tourne pas pendant 15 jours peut signifier l'absence d'un client, information pouvant être exploitée par des cambrioleurs. Du coup, ces données doivent être classifiées comme sensibles. La centralisation opérée par Poseidon permet d'étudier les usages pour ensuite imaginer les contrôles et facilite notre démarche de sécurité et protection des données.
Enfin, le socle est également destiné à des usages externes, qu'il s'agisse de partager des données avec des partenaires, des fournisseurs, des collectivités, les pouvoirs publics, des clients ou de les exposer dans le cadre de l'open data. L'ensemble des accès est géré par un data hub, regroupant des outils pour sécuriser les accès. Afin de gagner en agilité et réactivité, GRDF a en effet adopté la publication d'API pour donner accès à ses données et donc mis en place la plateforme d'API management d'Axway. De la même façon, elle a adopté le BPM d'Appian pour modéliser les processus internes d'accès aux données et déployé des outils de type SSO pour sécuriser l'ensemble.
S'inscrivant au coeur de la stratégie de l'entreprise, Poseidon et ses ramifications restent un projet initié par une direction générale qui fixe le cap d'une ambition digitale affirmée. Très impliquée, la DSI applique la feuille de route. Pour l'heure, GRDF n'a pas encore de chief digital officer (CDO). Et elle n'en aura peut-être jamais avec cet intitulé. « Nous y réfléchissons, reconnaît toutefois Thien Than Trong, mais pas forcément sous la forme d'un CDO, fonction qui de notre point de vue est trop rattachée à des notions de pouvoir. Or, au regard des enjeux de la data qui sont multiples, la question de la coordination relève moins du pouvoir que du rôle attribué à la fonction, et c'est précisément sur ce point que porte actuellement notre réflexion ». ·
DATE-CHARGEMENT: May 21, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
480 of 500 DOCUMENTS
Economie Matin
21 mai 2017 04:00 AM GMT
Comment allier GDPR, Big Data, Intelligence artificielle et IoT ?
LONGUEUR: 889 mots
Avec l'explosion de l'IoT, du Big Data et de l'intelligence artificielle, les entreprises doivent disposer de plateformes pour exploiter leurs données conformément à la nouvelle réglementation européenne sur la protection des données personnelles. D'ici mai 2018, les entreprises européennes seront toutes confrontées à la nouvelle Réglementation européenne sur la protection des données personnelles (RGPD ou GDPR, pour General Data Protection Regulation). Une nouvelle prescription qui contraint les entreprises en matière de collecte et d'usage des données personnelles, sur la sécurité, le droit à l'oubli et la portabilité des données. Il s'agit alors pour les entreprises d'engager un réel travail puisque, sous l'effet de l'IoT, du Big Data, et de l'intelligence artificielle, ces dernières font face à un grand nombre de données. En effet, 90% des données existant actuellement ont été produites lors des deux dernières années.
Selon le Gartner, 26 milliards d'objets seront connectés dans le monde en 2020 et 6 milliards pourraient bénéficier d'intelligence artificielle dès 2018. D'autres études montrent que chaque foyer pourrait disposer d'une trentaine d'objets " intelligents " étant par exemple capables de détecter et d'alerter d'un dysfonctionnement, ou de reproduire un mouvement. Peu importe la provenance (open data, études, indicateurs, bases de données, etc.), ou la forme (vidéo, texte, chiffre, etc.), le Big Data, l'IoT et l'intelligence artificielle trouvent leur raison d'être dans la data. Or d'ici quelques mois, la RGPD imposera des conditions beaucoup plus restrictives sur l'exploitation des données à caractères personnels. Des registres pour le suivi du traitement de la donnée La question est de savoir comment continuer l'exploitation de cette donnée socle et de ces nouvelles technologies, tout en respectant la RGPD ? Si dans ce nouveau règlement, certains volets concernent l'information des entreprises envers leurs clients ou utilisateurs autour notamment de la transparence sur l'utilisation des données personnelles, ou du renforcement des conditions de consentement de l'utilisation de celles-ci, d'autres volets en revanche impactent fortement l'organisation et le système d'information de l'entreprise. Ainsi, les entreprises sont désormais contraintes d'indiquer la façon dont elles exploitent et stockent les données. En effet, selon le principe d'" accountability " spécifié dans la RGPD, toutes les entreprises doivent développer une véritable gouvernance de la donnée. En effet, elles doivent fournir aux autorités de contrôle un registre dans lequel sont notifiés tous les processus du traitement de la donnée que ce soit au sein de l'entreprise ou chez les prestataires de services. Ce registre doit être mis à jour régulièrement, de la mise en oeuvre de nouveaux traitements aux modifications des existants. Or, aujourd'hui les entreprises se retrouvent avec un nombre incalculable de données dispersées en interne, hébergées chez des prestataires ou dans le Cloud. Une architecture qui les oblige à développer des outils de discovery pour aller chercher les données présentes sur plusieurs plateformes en cas de demandes de l'autorité de contrôle. Des plateformes intégrées pour une vision complète des données La nouvelle réglementation est donc exigeante, notamment au niveau de la traçabilité du traitement de la donnée. Elle constitue un véritable travail qui peut s'avérer très long pour les entreprises. C'est pourquoi, celles-ci ont tout intérêt à revoir leur structure informatique pour gérer la donnée parfaitement et ainsi mettre en place de nouveaux usages. Elles doivent notamment privilégier les interfaces transparentes de gestion de la donnée, car la RGPD valorise les dispositifs whitebox, permettant de suivre en temps réel le traitement par la donnée. Il est également préférable de "Désiloter" le traitement de la data en favorisant le mode collaboratif. Trop souvent dispersée dans les services, la donnée doit pouvoir être administrée de façon centrale pour une vision complète et détaillée. Par ailleurs, les entreprises doivent adopter une structure capable d'accepter l'altérité des formats afin d'obtenir une vision d'ensemble sur le procédé de transformation et de développement des données. Enfin, afin de ne pas forcer en vain les collaborateurs à utiliser les mêmes standards, il est préférable de travailler sur une plateforme commune, supportant différents systèmes. Avec l'IoT, le Big Data et l'intelligence artificielle, les données sont omniprésentes Aujourd'hui pour les entreprises, le fait de ne pas exploiter la donnée face à l'avancée de leurs concurrents dans le domaine les condamne à disparaître du marché. A un an de l'entrée en vigueur de la RGPD il est grand temps pour toute entreprise, de mettre en place les outils nécessaires à la bonne exploitation de leurs données. En effet, en cas de non-conformité, les sanctions seront sévères : jusqu'à 20 millions d'euros d'amendes pour les PME et une pénalité financière de 4% du chiffre d'affaires annuel mondial pour les grandes entreprises. Toutes les entreprises qui se seront donné les moyens de répondre aux exigences de transparence et de traçabilité de la data, seront en mesure de déployer sereinement toutes les nouvelles technologies, IoT, Big Data, et IA.
DATE-CHARGEMENT: 26 mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
481 of 500 DOCUMENTS
Economie Matin
17 mai 2017 04:00 AM GMT
Le "Game of Drones" face aux nouvelles règlementations européennes
LONGUEUR: 518 mots
En réaction aux derniers événements relatifs aux drones, l'Agence Européenne de la Sécurité Aérienne (AESA) a proposé des règles sur l'utilisation des petits drones : un encadrement des zones de vols non autorisées et une notice accompagnant le drone lors de sa vente sur les meilleures pratiques d'utilisation. Avec l'utilisation croissante des drones tant par les consommateurs, que des entreprises et des instances gouvernementales, comme la police, l'AESA réagit. Il est rassurant de voir de hautes instantes réagir à des problématiques sécuritaires touchant le monde de l'Internet des Objets, comme ce fut déjà le cas d'objets connectés par le passé (pirates sur de voitures connectées, etc.). Sensibiliser à la sécurité et demander aux décideurs de mettre en place des règles claires pour anticiper les problèmes oriente le marché dans la bonne direction.
C'est un élément nécessaire pour prévenir (ou forcer) les fournisseurs à prendre en compte, dès le début, des fondamentaux tels que la sécurité, l'authentification, la sûreté et la protection des données. Les recherches actuelles estiment que d'ici 2020, plus de 7 millions de drones connectés seront utilisés à travers le monde. Il est donc évident que les priorités doivent être établies pour garantir un espace aérien mondial sûr et sécurisé, le ciel étant d'ores et déjà très fréquenté par l'aviation. Par ailleurs, ces régulations contribuent à un environnement favorable permettant aux drones de devenir des solutions pérennes. On observe également une tendance à la régulation pour plus de confidentialité et de protection des données (avec la RGPD par exemple). Ce besoin fort en protection des données est crucial car ces appareils créent et récupèrent des données sensibles (grâce, entre autres, à des caméras ou des capteurs). Aussi, sans pour autant tomber dans un scénario trop pessimiste, les drones peuvent être potentiellement dangereux pour les humains s'ils sont utilisés à des fins malveillantes ou si des fonctionnalités de sécurité ont été négligées voire occultées. Nous recommandons donc et soutenons tout effort tendant à conserver la sécurité et dans un cadre bien défini. Il est aussi intéressant de suivre les régulateurs envisageant un ensemble de règles pour un meilleur partage du ciel en toute sécurité depuis l'introduction des appareils privés. D'un point de vue sécurité, cela permet d'éviter des incidents comme il y a pu en avoir ces derniers mois [2]. Le ciel est généralement géré et contrôlé par des instances gouvernementales, d'où la nécessité de considérer avec précaution les objets privés dans cet espace " ouvert mais restreint ". Gemalto observe avec attention l'évolution du marché des drones. Ce marché est une référence pour le monde de l'Internet des Objets en général car il rassemble les défis et risques habituellement rencontrés par les objets connectés : connectivité, sécurité, authentification forte, chiffrement des données. Si nous tenons réellement à profiter et bénéficier du potentiel de l'Internet des objets, nous devons, par conséquent, concevoir des règles de sécurité fortes.
DATE-CHARGEMENT: 23 mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
482 of 500 DOCUMENTS
Le Monde
27 avril 2017 jeudi
L'accès aux dossiers professionnels facilité
AUTEUR: Valérie Segond
RUBRIQUE: LE MONDE ECO ET ENTREPRISE; Pg. 5
LONGUEUR: 765 words
ENCART: En 2018, un règlement européen sur la protection des données personnelles pour les entreprises
Les entreprises devront mettre en oeuvre le nouveau règlement européen sur la protection des données, le RGPD, dès mai 2018, qui étend la responsabilité des entreprises quant au traitement des données. Les employeurs devront obtenir le consentement des clients et salariés pour les conditions d'utilisation de leurs données personnelles, qui devront être documentées et gérées par un Data Officer ou " délégué à la protection des données ". Un autre des objectifs du RGDP est de faciliter l'accès des salariés à leur dossier professionnel.
Constitué par la direction des ressources humaines (DRH), le dossier professionnel du salarié réunit les informations sur son recrutement, sa rémunération, ses évaluations, le cas échéant son dossier disciplinaire, et aussi tout élément ayant servi à justifier une promotion, une augmentation ou un changement d'affectation.
Jusqu'alors, peu de salariés pensaient à exercer leur droit d'accès à leur dossier professionnel, sauf pour rectifier une adresse ou une situation matrimoniale. " Ce n'est qu'en cas de litige qu'il peut être nécessaire d'accéder au dossier pour avoir le détail des évaluations non remises au salarié afin de négocier au mieux sa sortie, estime Me Caroline Violas, avocate spécialisée en droit du travail à Paris. Mais c'est assez rare. "
" Dans les affaires de discrimination en matière de rémunérations ou de carrière, il peut être utile d'avoir accès aux éléments factuels à l'origine des écarts de traitement ", explique Me Yann Breban, du cabinet Nexo Avocats à Paris. Les cas sont cependant assez rares. Les salariés qui cherchent à savoir ce qu'il y a dans leur dossier essuient parfois des résistances, comme le montrent les plaintes déposées à la Commission nationale informatique et liberté (CNIL) : 140 plaintes en 2016, soit 14 % du total des plaintes reçues.
" Je voulais accéder à mon dossier disciplinaire pour voir si les éléments cités dans mon courrier de licenciement y sont présents, mais mon employeur ne m'a pas répondu ", dit un plaignant dans son courrier à la CNIL. " A ma demande, la RH m'a répondu que, comme nous étions en procédure, elle ne me donnerait rien ", témoigne un autre.
" 8 000 euros de frais d'accès "
Des employeurs monnayent même l'accès à l'information. " Certaines entreprises font obstacle en demandant au salarié des frais d'accès prohibitifs, en moyenne 200 euros, indique Daniela Parrot, chef du service des plaintes de la CNIL. L'une d'entre elles aurait même demandé 8 000 euros de frais d'accès. "
Il faut dire que certains dossiers contiennent des éléments qui ne devraient pas y figurer, comme des commentaires subjectifs sur le salarié : " grande gueule ", " manipulateur ", " lymphatique ", " syndicaliste énervé ", etc. Alors même que des informations objectives sur la situation du salarié sont interdites, comme son état de santé, sa religion ou ses opinions politiques ou syndicales, si elles ne disent rien de sa capacité à assumer ses fonctions.
Reste que les DRH prudents ont nettoyé les dossiers professionnels demandés avant la descente de la CNIL, " ce n'est pas si fréquent de trouver des commentaires excessifs, dit Daniela Parrot. Il y a beaucoup de fantasmes. Néanmoins, le salarié est en droit de demander l'accès à son dossier, mais aussi le retrait ou la rectification de certaines informations ".
Laloi du 6 janvier 1978 contraint les entreprises à répondre immédiatement si la demande est effectuée sur place, ou dans un délai de deux mois si elle est écrite (ramené à un mois en mai 2018). Le site de la CNIL propose des modèles de courrier pour exercer son droit. Ces droits se verront renforcés par le règlement européen.
" Le RGPD va donner aux salariés une plus grande maîtrise de leurs données, à commencer par un accès facilité par voie électronique, explique Daniela Parrot. Ils devront être mieux informés sur l'utilisation et la conservation de leurs données professionnelles, sur les critères déterminants pour leur carrière, et pourront faire des réclamations plus facilement. "
Le feront-ils pour autant ? " Ce n'est pas sûr ", estime Me Yann Breban. Sauf si la tendance liée à la prolifération des données issues des badgeuses, smartphones géolocalisés ou terminaux connectés se développait : " La géolocalisation est de plus en plus utilisée comme outil de mesure du temps de travail effectif, et l'on voit une augmentation des demandes d'accès à ces données comme la preuve du travail effectif ", remarque Daniela Parrot. L'élargissement de l'accès aux données professionnelles personnelles rouvrira-t-il la boîte noire du temps de travail ?
DATE-CHARGEMENT: 26 avril 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Le Monde Interactif
Tous Droits Réservés
483 of 500 DOCUMENTS
Le Monde.fr
Mercredi 26 Avril 2017
L'Europe facilite l'accès des salariés à leur dossier professionnel
AUTEUR: Valérie Segond
LONGUEUR: 783 words
En mai2018, les entreprises devront mettre en oeuvre le nouveau règlement européen sur la protection des données, le RGPD, qui étend la responsabilité des entreprises quant au traitement des données. Les employeurs devront obtenir le consentement des clients et salariés pour les conditions d'utilisation de leurs données personnelles, qui devront être documentées et gérées par un Data Officer ou «délégué à la protection des données». Mais l'un des objectifs du RGDP est de faciliter l'accès des salariés à leur dossier professionnel.
Constitué par la direction des ressources humaines (DRH), le dossier professionnel du salarié réunit toutes les informations sur son recrutement, sa rémunération, ses évaluations, le cas échéant son dossier disciplinaire, mais aussi tout élément ayant servi à justifier une promotion, une augmentation ou un changement d'affectation.
140 plaintes en2016
Jusqu'alors peu de salariés pensaient à exercer leur droit d'accès à leur dossier professionnel, sauf pour rectifier une adresse ou une situation matrimoniale. «Ce n'est qu'en cas de litige qu'il peut être nécessaire d'accéder au dossier pour avoir le détail des évaluations non remises au salarié afin de négocier au mieux sa sortie, estime Me Caroline Violas, avocate spécialisée en droit du travail au barreau de Paris. Mais c'est assez rare.»
«Dans les affaires de discrimination en matière de rémunérations ou de carrière, il peut être utile d'avoir accès aux éléments factuels à l'origine des écarts de traitement», explique Me Yann Breban, du cabinet Nexo Avocats à Paris. Les cas étant cependant assez rares.
Les salariés qui cherchent à savoir ce qu'il y a dans leur dossier essuient parfois de fortes résistances, comme le montrent les plaintes déposées à la Commission nationale de l'informatique et des libertés (CNIL): 140 plaintes en2016, soit 14% du total des plaintes reçues. «Je voulais accéder à mon dossier disciplinaire pour voir si les éléments cités dans mon courrier de licenciement y sont présents, mais mon employeur ne m'a pas répondu», dit un plaignant dans son courrier à la CNIL. «A ma demande, la RH m'a répondu que, comme nous étions en procédure, elle ne me donnerait rien», témoigne un autre.
«Grande gueule», «emmerdeur»
Des employeurs monnayent même l'accès à l'information. «Certaines entreprises font obstacle en demandant au salarié des frais d'accès prohibitifs, en moyenne 200euros, indique Daniela Parrot, chef du service des plaintes de la CNIL. L'une d'entre elle aurait même demandé 8000euros de frais d'accès.»
Il faut dire que certains dossiers contiennent des éléments qui ne devraient pas y figurer, comme des commentaires subjectifs sur le salarié: «grande gueule», «emmerdeur», «manipulateur», «lymphatique», «syndicaliste énervé», «divorce difficile», etc. Alors même que des informations objectives sur la situation personnelle du salarié sont interdites, comme son état de santé, sa religion ou ses opinions politiques ou syndicales, si elles ne disent rien de sa capacité à assumer ses fonctions.
Reste que les DRH prudents ont nettoyé les dossiers professionnels demandés avant la descente de la CNIL, «ce n'est pas si fréquent de trouver des commentaires excessifs, dit Daniela Parrot. Il y a beaucoup de fantasmes. Néanmoins le salarié est en droit de demander l'accès à son dossier, mais aussi le retrait ou la rectification de certaines informations».
Les modèles de courrier de la CNIL
La loi du 6janvier 1978 contraint les entreprises à répondre immédiatement si la demande est effectuée sur place, ou dans un délai de deux mois si elle est écrite (ramené à un mois en mai2018). Le site de la CNIL propose d'ailleurs des modèles de courrier pour exercer son droit.
Ces droits se verront renforcés par le nouveau règlement européen. «Le RGPD va donner aux salariés une plus grande maîtrise de leurs données, à commencer par un accès facilité par voie électronique, explique Daniela Parrot. Ils devront être mieux informés sur l'utilisation et la conservation de leurs données professionnelles, sur les critères déterminants pour leur carrière, et pourront faire des réclamations plus facilement.»
Le feront-ils pour autant? «Ce n'est pas sûr», estime Me Yann Breban. Sauf si la tendance liée à la prolifération des données issues des badgeuses, smartphones géolocalisés ou terminaux connectés se développait: «La géolocalisation est de plus en plus utilisée comme outil de mesure du temps de travail effectif, et l'on voit une augmentation des demandes d'accès à ces données comme la preuve du travail effectif», remarque Daniela Parrot. L'élargissement de l'accès aux données professionnelles personnelles rouvrira-t-il la boîte noire du temps de travail?
DATE-CHARGEMENT: 26 Avril 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
484 of 500 DOCUMENTS
Les Echos
mardi 25 avril 2017
Le règlement européen sur les données effraie les entreprises
AUTEUR: SEBASTIEN DUMOULIN
RUBRIQUE: ARTICLE; 18 % redoutent la faillite; Pg. 22 N°. 22432
LONGUEUR: 546 mots
ENCART: A un an de l'entrée en vigueur du texte, l'impréparation règne.
« GDPR », ou « RGPD » pour la version française. Ces quatre lettres, qui ne suscitaient jusqu'alors que peu de réaction dans les états-majors, sont aujourd'hui le cauchemar de nombreux dirigeants d'entreprise. Dans un an exactement, le règlement général sur la protection des données (RGDP) entrera en vigueur dans l'Union européenne. Et le moins que l'on puisse dire, c'est que les entreprises n'ont pas devancé les souhaits du législateur. Selon une enquête menée par le cabinet Vanson Bourne pour Veritas Technologies auprès de 900 entreprises de plus de 1.000 employés en Europe, aux Etats-Unis et en Asie, la moitié d'entre elles pensent ne pas être dans les clous avant la date fatidique. Plus encore que la volonté de bien faire, la peur du gendarme joue à plein. Le texte, qui encadre strictement l'utilisation de données à caractère personnel de citoyens européens par les entreprises, associations ou administrations, prévoit en effet des amendes salées pour les contrevenants : 20 millions d'euros ou 4 % du chiffre d'affaires annuel de l'entreprise, le montant le plus élevé étant celui retenu.
18 % redoutent la faillite
D'après Veritas, 86 % des entreprises interrogées s'inquiètent des répercussions qu'entraînerait un défaut de conformité. Les craintes exprimées sont de plusieurs ordres. Les plus évidentes sont financières. L'ampleur des pénalités fait redouter à une entreprise sur cinq de devoir réduire ses effectifs en cas d'amende. Une proportion équivalente redoute carrément de devoir mettre la clef sous la porte si elle devait être prise en faute. Un autre tiers des entreprises interrogées s'inquiète davantage de la mauvaise publicité que lui vaudrait une non-conformité avec le nouveau règlement et pourrait dévaloriser la marque (12 % des entreprises interrogées) ou faire perdre des clients (19 %).
Alors que le règlement s'appliquera indifféremment aux entreprises européennes et à celles qui opèrent hors des frontières de l'Union mais manipulent des données de citoyens européens, « ce sont les sociétés étrangères qui ont les craintes les plus importantes. Il va y avoir des exemples et personne ne veut en faire partie », explique Thierry Lottin, directeur de Veritas en France. « Au sein de l'Union, on voit que les entreprises allemandes vont plus vite et ont déjà réalisé des audits complets. Certains métiers, comme l'assurance, la banque ou la publicité ont l'avantage d'être un peu plus prêts, du fait de réglementations sectorielles comme les accords de Bâle ou la loi Hamon. »
Pour d'autres, la tâche est immense : 39 % des entreprises interrogées s'estiment incapables de localiser les données en leur possession, alors que le RGPD leur imposera de les communiquer ou de les effacer dans un délai d'un mois sur simple requête de leur propriétaire. Après avoir cartographié correctement l'ensemble des données détenues par les divers services de l'entreprise, sur tous supports, il faut encore mettre en place les procédures pour gérer leur protection et, à terme, leur anonymisation ou leur destruction. Selon Veritas, les entreprises prévoient de dépenser en moyenne 1,3 million d'euros. La tranquillité a un prix.
Voir aussi:
[24/02/2017] Données personnelles : six conseils pour lancer son chantier « GDPR »
DATE-CHARGEMENT: 15 mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
485 of 500 DOCUMENTS
La Tribune
Samedi 22 Avril 2017
Présidentielle 2017 et numérique : demandez le programme !
AUTEUR: Sylvain Rolland
RUBRIQUE: PRÉSIDENTIELLE; Pg. 48
LONGUEUR: 3216 mots
ENCART: Que proposent les onze candidats à l'élection présidentielle sur le numérique ? La Tribune fait le point.
Contrairement à l'élection présidentielle de 2012, les cinq principaux candidats de 2017 - sauf Marine Le Pen, très imprécise sur le sujet - intègrent dans leur vision de l'avenir de la France les enjeux de la transformation numérique de l'économie et de la société. Si certains sujets font consensus, les diverses sensibilités politiques s'expriment sur les questions de souveraineté, de fiscalité, de financement de l'innovation, d'inclusion par le numérique ou encore dans le domaine de la culture. Les "petits" candidats ne sont pas non plus en reste, entre programmes très radicaux d'un côté (Nicolas Dupont-Aignan, François Asselineau), utopiques de l'autre (Jacques Cheminade) et absence coupable de réflexion pour une poignée d'entre eux (Nathalie Artaud, Philippe Poutou, Jean Lassalle). Décryptage. METTRE DE L'ORDRE DANS « LE CONTINENT NUMÉRIQUE » Jean-Luc Mélenchon - La France insoumise
Profiter des opportunités offertes par le numérique, mais lutter contre l'ubérisation et contre les menaces sur le travail, l'emploi et la souveraineté de la France. Telle est la philosophie de Jean-Luc Mélenchon pour « rendre le continent numérique au peuple ». Le premier homme politique à avoir utilisé un hologramme dans un meeting, le 5 février dernier, axe ses propositions sur la lutte contre l'hégémonie des géants américains (Google, Apple, Facebook, Amazon, Microsoft, Uber, Netflix...), la promotion des modèles alternatifs et l'accompagnement des citoyens. Ses 10 mesures phares : Lutte contre l'optimisation fiscale et les pratiques anti-concurrentielles des géants américains du Net ; développer l'économie collaborative. Création d'un standard « clair et lisible » de description des CGU (conditions générales d'utilisation) pour mieux informer les citoyens sur l'utilisation de leurs données personnelles par les plateformes. Généralisation du logiciel libre pour les administrations et les établissements publics, fin des contrats entre Microsoft et l'État dans l'éducation et la défense. Généralisation de l'open data. Suppression de la loi Hadopi, réforme du droit d'auteur pour créer un « système de rémunération global de la création » via une cotisation liée à l'abonnement Internet; défense de la neutralité du Net. Création d'une plateforme publique d'offre légale en ligne de contenus culturels (musique, films). Suppression du méga-fichier d'identité TES, lutte contre la surveillance généralisée des citoyens par l'État, soutien au chiffrement. Protection des lanceurs d'alerte, nationalité française à Edward Snowden et Julian Assange. Couverture en très haut débit du territoire d'ici à 2022. Suppression du Crédit impôt recherche (CIR) remplacé par « un financement fléché » vers des programmes précis... qui restent encore à définir.FAIRE BASCULER LA SOCIÉTÉ DANS L'ÈRE NUMÉRIQUE Emmanuel Macron - En Marche !
L'ancien ministre de l'Économie s'inscrit clairement dans la continuité du quinquennat de François Hollande, dont il partage en partie le bilan numérique. Ses propositions font ressortir trois grandes priorités : amplifier la dynamique de l'innovation, réformer le fonctionnement de l'État et utiliser le digital dans tous les pans de l'action publique. Ses 10 mesures phares : Investir 10 milliards d'euros, issus de son plan d'investissements de 50 milliards d'euros, pour « redéfinir l'action publique », avec l'objectif en 2022 de réaliser 100% des démarches administratives en ligne. Création d'un « compte-citoyen » en ligne pour rassembler sur une même plateforme tous ses droits. Création d'un « service public numérique de la justice » pour les citoyens et leurs avocats ; outils numériques d'aide à la décision pour les juges. Stratégie d'inclusion numérique : création d'une « plateforme numérique collaborative » pour les handicapés (accès aux diplômes facilité, partage des bonnes pratiques locales), création d'un réseau d'accompagnement numérique sur tout le territoire pour les populations les plus fragiles. « Stabilité et visibilité » en matière fiscale pour développer l'innovation : « sanctuarisation » des dispositifs existants (Crédit impôt recherche, Crédit impôt innovation, dispositif Jeunes Entreprises Innovantes), renforcement du rôle de Bpifrance pour faciliter la transformation numérique des PME et TPE. Usine du futur : création d'un Fonds pour l'industrie et l'innovation de 10 milliards d'euros, financé par la vente d'actions dans des entreprises possédées de manière minoritaire par l'État. Création d'un « droit à l'expérimentation » pour faciliter le test de nouvelles solutions en permettant aux entreprises de déroger provisoirement aux dispositions en vigueur. Création d'un Fonds européen de financement en capital-risque de 5 milliards d'euros pour les startups ; renégociation du Privacy Shield ; création d'une Agence européenne pour la confiance numérique chargée de réguler les grandes plateformes numériques américaines. Télémédecine, e-santé : simplification des procédures d'autorisation et de mise sur le marché pour stimuler l'innovation. Culture : créer un « Netflix européen » ; Pass Culture d'un montant de 500 euros financé par les distributeurs et les grandes plateformes numériques, destiné à tous les jeunes à partir de 18 ans pour accéder aux activités culturelles de leur choix via une application. Poursuite du Plan France Très Haut Débit (PFTHD).LE PROGRÈS TECHNOLOGIQUE « POUR AMÉLIORER LA VIE » Benoît Hamon - Parti socialiste
BENOÎT HAMON - Parti socialiste « Il y a ceux qui pensent que le progrès technologique va permettre d'augmenter les profits et les richesses, et ceux qui, comme moi, considèrent qu'il doit améliorer la vie des gens », expliquait Benoît Hamon au Parisien le 16 mars. Le candidat issu de la primaire de la gauche place les transformations économiques et sociétales au coeur de son programme, notamment l'évolution du travail. Pour lui, le numérique est un levier, dans tous les secteurs, pour résorber les inégalités et créer « un futur désirable ». Ses 10 mesures phares : Taxe sur les robots pour financer un Fonds de transition travail (FTT) dédié à la formation au retour vers l'emploi des personnes dont le travail est désormais effectué par une machine intelligente. Création d'un statut de l'actif pour lutter contre « l'ubérisation débridée » et assurer à tous le même niveau de protection sociale. Renforcement du rôle de Bpifrance pour aider les TPE-PME-PMI ; création d'une monnaie alternative inter-entreprises pour leur permettre de s'échanger des services sans mobiliser leur trésorerie. 3 % du PIB dédié à la recherche et développement ; création d'un Crédit innovation sociale. Numérique pour tous : stratégie d'inclusion numérique, très haut débit fixe et mobile partout. E-démocratie : co-construction de certaines lois avec les citoyens ; budget participatif au niveau national ; protection des lanceurs d'alerte au niveau européen. Plan « Hôpital digital 2022 ». Garantir la loyauté des algorithmes et la neutralité du Net, mieux protéger des données personnelles. Soutien à l'entrepreneuriat culturel, aux biens communs de la connaissance. Taxe sur les bénéfices détournés des multinationales, obligation de transparence fiscale aux entreprises.LE NUMÉRIQUE COMME LEVIER DE CROISSANCE ET DE SOUVERAINETÉ François Fillon - Les Républicains
La vision du candidat de la droite sur le numérique est dominée par les enjeux économiques et de souveraineté. Très peu de propositions sur la culture, l'éducation, l'inclusion numérique et l'edémocratie. En revanche, François Fillon compte s'appuyer sur l'Europe pour tenir à distance les géants américains. En France, ses propositions visent avant tout à « libérer l'innovation » et à simplifier l'administration. Ses 10 mesures phares : Construire une « véritable souveraineté numérique européenne » : porter un programme d'appels à projets européens dans l'intelligence artificielle et la blockchain ; accepter des dérogations aux règles de la commande publique en cas d'enjeux d'autonomie stratégique et de cybersécurité. Créer un écosystème franco-allemand puis européen du financement de l'innovation : fonds souverain, banque publique d'investissement, « NASDAQ » franco-allemand. Renégocier le Privacy Shield et le Règlement européen sur les données personnelles (RGPD). Éducation : transformer le cours de technologie du collège en cours de « culture numérique » ; recruter des enseignants en informatique ; introduire un module numérique dans toutes les formations supérieures. Mener des états généraux de l'économie et de l'innovation, qui aboutira sur un grand plan de rattrapage/accompagnement des PME/PMI pour leur transformation numérique. Refonte du compte entrepreneur investisseur, développement des actions gratuites et des stocks options pour les salariés. Orienter davantage l'épargne vers le financement des PME innovantes et des fonds de capital-risque. Refinancer le Plan Très Haut Débit (qui coûte déjà 20 milliards d'euros) pour accélérer le déploiement de la fibre d'ici à 2022 ; initier un « Plan 5G ». Dématérialiser toutes les procédures administratives d'ici à 2022 : créer un identifiant numérique unique auprès de toutes les administrations : poursuivre la démarche d'open data dans les services publics. Télémédecine et e-santé : faciliter le déploiement des objets connectés de santé, déployer le big data et l'intelligence artificielle dans la santé, simplifier le parcours des soins grâce à des plateformes de services numériques.UN PROGRAMME TRÈS MAIGRE ET TRÈS IMPRÉCIS Marine Le Pen - Front national
Contrairement aux autres candidats issus des "grands" partis, le numérique est la dernière roue du carrosse dans le programme de Marine Le Pen, qui n'y consacre qu'une dizaine de propositions sur 144. La candidate d'extrême-droite se distingue par une approche très vague, généraliste, se contentant d'égrener quelques grandes orientations sans aller dans le détail. Ses propositions - dont certaines ne modifient que très légèrement l'existant - se concentrent sur la protection des données personnelles, le financement de l'innovation et la culture. Ses 10 mesures phares : Créer « une charte à valeur constitutionnelle » incluant la protection des données personnelles ; obliger les entreprises à stocker les données de leurs clients dans des serveurs localisés en France. Créer un secrétariat d'Etat consacré aux mutations économiques, rattaché au ministère des Finances, pour anticiper les évolutions du travail. Établir une « nouvelle régulation » pour préserver une concurrence loyale, avec les secteurs concernés. « Fixer » l'innovation en France : une entreprise qui reçoit des aides publiques ne pourra pas se vendre à une société étrangère pendant dix ans. Financement : recentrer le Crédit impôt recherche (CIR) vers les PME et les startups ; diriger une part de l'assurance-vie (2 %) vers le capital-risque et les startups ; inciter les grands groupes à créer leur propre fonds d'investissement dans les entreprises innovantes. Augmenter de 30 % le budget public de la recherche. Moderniser le système de santé grâce aux startups. Fusionner la carte Vitale biométrique avec la carte d'identité pour lutter contre la fraude. Supprimer Hadopi et « ouvrir le chantier de la licence globale ». Soutenir l'investissement dans le très haut débit.LA SOUVERAINETÉ NUMÉRIQUE A TOUT PRIX Nicolas Dupont-Aignan - Debout la République
Le candidat souverainiste parle peu de l'économie numérique et des enjeux de transformation de la société. En revanche, il défend des positions tranchées et plutôt complètes sur quelques grands sujets : la souveraineté de la France, l'ouverture des données publiques et l'imbroglio autour des droits d'auteurs. Ses 10 mesures phares : Abroger la loi Hadopi, légaliser le téléchargement pour mettre à disposition des internautes toutes les uvres artistiques de l'humanité et rémunérer les auteurs par une licence globale. Créer une "médiathèque universelle à laquelle chaque citoyen aurait accès : livres, films, pièces de théâtre, chansons » et qui serait financée par une "contribution forfaitaire mensuelle sur chaque abonnement internet". vaste programme de "numérisation du patrimoine français" où tous les contenus publics seraient regroupés sur une même plateforme. Créer les équivalents francophones aux GAFA américains : un "Google francophone" ainsi que des réseaux sociaux francophones. Qwant, champion français de la recherche en ligne éthique, et tout l'écosystème des services alternatifs aux géants américains apprécieront. Héberger les données des Français en France, même pour les services étrangers. 20 nouveaux supercalculateurs pour "booster la recherche scientifique" dans les nouvelles technologies Généraliser les logiciels libres et souverains, notamment pour se prémunir de l'espionnage étranger Développer les "smart cities" notamment pour fluidifier les transports et optimiser la consommation énergétique L'Etat redeviendra majoritaire au capital d'Orange. Lancement d'une "OPA amicale" sur Nokia-Alcatel pour créer un "champion numérique français". développer le télétravail, mettre fin au zones blanches par l'accélération du très haut débit pour tousPROTECTIONNISME DÉMESURÉ ET ANTI-UBERISATION François Asselineau - Union populaire républicaine (UPR)
L'invité-surprise de la présidentielle a publié un programme très étayé sur son site, dans tous les domaines, y compris le numérique qui a droit à une section spéciale, mais qui se retrouve également dans la plupart des autres thèmes. Résolument opposé à "l'ubérisation" de l'économie et de la société, François Asselineau veut revenir sur les lois encadrant la "nouvelle économie" sans proposer de modèle alternatif autre que le soutien aux professions menacées. Il promeut également un web refermé sur la France Ses 10 mesures phares : Lutte contre l'ubérisation : abrogation des lois Macron et El Khomri ; protection du statut du salariat : protection du statut des professions réglementées (artisans-taxis, avocats, notaires, médecins, pharmaciens...) Interdiction de stocker les données des Français hors de France ; Interdiction du transfert des données des Français à l'étranger (entreprise, Etat ou institution) Renationalisation d'Orange (anciennement France Télécom) et de TF1 Agriculture : favoriser les circuits courts ; création d'Agridistrib, un outil internet connectant les producteurs et les plates-formes de distribution locale. Education : CAPES d'informatique en vue d'un enseignement au lycée pour prôner "une utilisation modérée et intelligente des nouvelles technologies" suppression du Crédit Impôt Recherche (CIR) Lancer des "états généraux de la formation et de l'aide à l'innovation" pour les PME/TPE. Données personnelles : Définir l'utlisateur comme le propriétaire de ses données ; Interdire les dispositifs de surveillance massive (abrogation des lois LOPPSI 2, loi Renseignement, réforme de la LCEN etc) ; promotion des opérateurs et hébergeurs alternatifs aux GAFA Généralisation du logiciel libre dans les administrations ; création d'un réseau chiffré national pour le transfert des données de santé. Créer un "droit universel à l'Internet et à l'information" ; garantir l'anonymat sur internet ; protéger les lanceurs d'alerte ; garantir la neutralité du NetLE NUMERIQUE BISOUNOURS Jacques Cheminade - Solidarité et progrès
Comme d'autres "petits" candidats", Jacques Cheminade parsème ici ou là son programme de quelques propositions numériques, sans beaucoup réfléchir sur les enjeux de transformation de l'économie et de la société. Son credo : louer les "bons" usages et stigmatiser les "mauvais", quitte à flirter avec la naïveté, comme sur la régulation des géants du Net ou le numérique à l'école, ou à manquer cruellement de précision. Ses mesures phares : Créer un grand service public du numérique fournissant, à des tarifs réglementés, un accès universel au numérique, "haut de gamme", sur l'ensemble du territoire. Mobiliser France Télévisions au service de "contenus intelligents" disponibles gratuitement sur internet via une plateforme éducative. Aucun écran à l'école jusqu'au CE1 (6 ans) car plusieurs études ont "démontré leur nocivité en terme de concentration, de luminosité, voire d'ondes". Généralisation du très haut débit pour éliminer les zones blanches. Créer une "assemblée de 500 citoyens" tirés au sort, chargés de réfléchir sur "l'appropriation citoyenne de la révolution numérique" et l'impact des technologies sur la société, avec l'aide d'experts. Créer une Autorité européenne du numérique, pour négocier avec les Etats-Unis le "partage de la valeur fiscale", et donc forcer les géants du Net à payer leurs impôts dans chaque pays où ils réalisent du chiffre d'affaires. Bannir les jeux vidéos violents, via une interdiction ou une surtaxe systématique des contenus "avilissant la personne humaine" comme les tirs instinctifs de certains jeux vidéos. L'une des raisons de cette mesure est la corrélation, selon lui, entre jeux vidéos et violence, notamment terroriste.LE VIDE, OU PRESQUE Nathalie Artaud - Lutte ouvrière, Philippe Poutou - Nouveau parti anticapitaliste, et Jean Lassalle - Résistons !
Les enjeux du numérique, qu'ils soient économiques ou sociétaux, semblent complètement passer au-dessus de la tête de Jean Lassalle. Le berger qui rêve d'Elysée n'ignore pas totalement le numérique, mais il se contente de quelques mesurettes imprécises disséminées au bonheur la chance dans ses diverses thématiques. En voici une compilation presque exhaustive : Les mesures phares de Jean Lassalle : ouverture des données publiques : "garantir l'accès en ligne, gratuit, au savoir produit par la recherche publique" et "publication sous forme de PDF de tous jugements et décisions d'autorités publiques, anonymisés". éducation : 10 millions d'euros pour développer l'utilisation du numérique "dans le travail personnel parascolaire" et "enseigner la pratique de l'informatique, de son "code", dès le primaire". santé : faciliter par une plateforme internet "le suivi et l'effet des médicaments", ce qui aurait été pratique, selon lui, pour prendre en compte l'avis des praticiens sur "l'acide hyaluronique contre l'arthrose du genou". sécurité : "étendre les systèmes d'alerte en cas d'urgence à tous les moyens de communication électronique (SMS, réseaux sociaux etc"), travail : créer un "site public de comptabilité pour les indépendants" qui leur permettrait d'effectuer directement leurs déclarations.Quant à Nathalie Artaud et Philippe Poutou, le numérique est à peine mentionné dans leur programme. Seule exception : le domaine de la culture, où la candidate de Lutte Ouvrière milite pour la numérisation des bibliothèques et des archives, et pour la nécessité de mettre en place un accès à internet dans les bibliothèques de quartier. De son côté, le candidat du Nouveau parti anticapitaliste, star des réseaux sociaux depuis le débat sur BFM TV et CNews du 4 avril, n'est pas plus prolixe. La seule mesure numérique de Philippe Poutou concerne aussi la culture : abroger la loi Hadopi sur le téléchargement illégal.
Jean-Luc Mélenchon, Emmanuel Macron, Benoît Hamon, François Fillon, Marine Le Pen, Nicolas Dupont-Aignan, François Asselineau, Philippe Poutou, Nathalie Artaud, Jacques Cheminade et Jean Lassalle. La Tribune fait le point sur leur programme sur le numérique.
DATE-CHARGEMENT: 11 Mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
486 of 500 DOCUMENTS
Revue Banque
21 avril 2017
Du consentement explicite à l'accès au compte dans la DSP 2
RUBRIQUE: DROIT DES MOYENS ET SERVICES DE PAIEMENT
LONGUEUR: 1034 mots
ENCART: Il n'est sans doute pas neutre que l'accès aux comptes de paiement octroyé aux prestataires sans compte requière le consentement explicite du payeur ou de l'utilisateur.
1. Les occurrences du consentement explicite dans la DSP 2. Là où le consentement, dans la DSP[1], est pur et simple, l'intervention des nouveaux « prestataires sans compte » créés par la DSP 2[2] est conditionnée par le recueil du consentement « explicite » de l'utilisateur de services de paiement. On en trouve en effet l'expression aux articles 65 (confirmation de la disponibilité des fonds), 66 (règles relatives à l'accès au compte de paiement en cas de services d'initiation de paiement) et 67 (règles relatives à l'accès aux données des comptes de paiement et à l'utilisation de ces données en cas de services d'information sur les comptes). C'est que, sans doute, l'accès à un compte que l'on ne tient pas est chose trop grave pour de pas exiger un consentement renforcé de son titulaire (puisqu'il n'est pas question, dans la DSP 2, de demander l'accord du prestataire de services de paiement gestionnaire de compte ou PSPGC).
Et puis, il y a cette autre occurrence, lourde de conséquences (pratiques) : le point 2 de l'article 94 sur la protection des données, où il est dit que « les prestataires de services de paiement n'ont accès à des données à caractère personnel nécessaires à l'exécution de leurs services de paiement, ne les traitent et ne les conservent qu'avec le consentement explicite de l'utilisateur de services de paiement ». Une chose est sûre, c'est que, demain, dans les contrats-cadres de services de paiement (ou les conventions de compte), la traditionnelle « clause CNIL » qui s'y trouve ne devrait plus suffire à autoriser le traitement des données. Une interrogation dès lors : la notion de consentement explicite relèverait-elle du droit des données à caractère personnel et de son nouveau règlement général (RGPD)[3] ?
2. Le consentement explicite dans le RGPD. La notion de consentement explicite de la personne concernée figure bien dans le RGPD. Son recueil est exigé dans des circonstances exceptionnelles : traitement portant sur des catégories particulières de données personnelles (article 9), décision individuelle automatisée, y compris le profilage (article 22) et, encore, transfert de données vers un pays tiers ou à une organisation internationale (article 49).
Mais point de définition de ce consentement explicite, sinon qu'il devrait être plus explicite encore que le « simple » consentement du RGPD, pourtant déjà fort caractérisé, car entendu comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement » (article 4, 11). Si bien que l'on ne sait guère si « explicite » vaut « exprès », à l'image, par exemple, de certains consentements du Code de la consommation[4] ; que l'on ne sait trop quelle forme extérieure doit prendre cet explicite, par quoi il doit se manifester, etc. On saurait au plus qu'explicite s'opposerait à implicite (et exprès à tacite ?), comme certaines législations (par exemple celle sur le don d'organes, mais on est assez loin de notre sujet) admettent un consentement implicite (cela rappelle, plus près de nous, le fameux opt-in versus opt-out). Ou qu'un consentement explicite devrait être recueilli dans des circonstances exceptionnelles, ce que confirmeraient nos hypothèses d'accès dérogatoire au compte de paiement.
3. La confirmation de la disponibilité des fonds. Très exceptionnelle devrait être cette action, puisque la demande de confirmation de la disponibilité des fonds faite par un émetteur d'instruments de paiement liés à une carte à un PSPGC est soumise à un double consentement explicite : celui que le payeur doit donner, avant la première demande de confirmation, au PSPGC pour qu'il réponde à la demande de l'émetteur (article 65, 1, b) ; celui que ce même payeur doit donner à l'émetteur pour qu'il demande une telle confirmation (article 65, 2, a).
S'y ajoutent que l'émetteur doit en outre s'« authentifier » auprès du PSPGC (les deux autres prestataires sans compte doivent seulement s'« identifier »), avant chaque demande de confirmation, conformément à l'article 98 de la DSP 2 (authentification forte) ; et que, par souci de protection des données à caractère personnel, la confirmation prendra la forme d'un simple « oui » ou « non », mais pas d'un relevé de compte.
4. L'initiation de paiement. L'originalité du consentement explicite nécessaire à l'initiation de paiement est qu'il n'est donné à personne, mais directement à l'exécution d'un paiement (article 66, 2), conformément au droit commun du consentement de l'article 64 de la DSP 2, qui veut qu'une opération de paiement ne soit réputée autorisée que si le payeur a donné son consentement à son exécution, sous la forme convenue avec le prestataire.
Explicite, le consentement doit sans doute l'être dans la mesure où, lorsqu'il a été donné, il déclenche une garantie : le PSPGC est en effet tenu de s'exécuter afin de « garantir » le droit de recourir à un service d'initiation de paiement. Sachant que, de son côté, le PSPGC est privé de consentement, puisque la fourniture de ce service n'est pas subordonnée à l'existence de relations contractuelles entre le prestataire de services d'initiation de paiement (PSIP) et le PSPGC. La même règle, au demeurant, est posée s'agissant du service d'information sur les comptes.
5. L'information sur les comptes. En la matière, le consentement explicite concerne le prestataire de services d'information sur les comptes (PSIC) : il fournit ses services uniquement sur la base du consentement explicite de l'utilisateur de services de paiement (article 67, 2, a).
Explicite mais aussi exprès : à l'instar du PSIP (article 66, 3, g), le PSIC n'utilise, ne consulte ou ne stocke des données à des fins autres que la fourniture du service d'information sur les comptes « expressément » demandée par l'utilisateur de services de paiement, conformément aux règles relatives à la protection des données (article 67, 2, f). Consentement explicite d'un côté, demande expresse de l'autre : voilà de piquantes variations sur la volonté en droit des services de paiement.
Achevé de rédiger le 13 avril 2017.
DATE-CHARGEMENT: 9 juin 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Groupe Revue Banque
Tous droits réservés
487 of 500 DOCUMENTS
La Tribune.fr
Mardi 18 Avril 2017 5:36 PM CET
Présidentielle 2017 et numérique : demandez le programme !
AUTEUR: Sylvain Rolland
RUBRIQUE: ÉCONOMIE; PRÉSIDENTIELLE
LONGUEUR: 3216 mots
ENCART: Que proposent les onze candidats à l'élection présidentielle sur le numérique ? La Tribune fait le point.
Contrairement à l'élection présidentielle de 2012, les cinq principaux candidats de 2017 - sauf Marine Le Pen, très imprécise sur le sujet - intègrent dans leur vision de l'avenir de la France les enjeux de la transformation numérique de l'économie et de la société. Si certains sujets font consensus, les diverses sensibilités politiques s'expriment sur les questions de souveraineté, de fiscalité, de financement de l'innovation, d'inclusion par le numérique ou encore dans le domaine de la culture. Les "petits" candidats ne sont pas non plus en reste, entre programmes très radicaux d'un côté (Nicolas Dupont-Aignan, François Asselineau), utopiques de l'autre (Jacques Cheminade) et absence coupable de réflexion pour une poignée d'entre eux (Nathalie Artaud, Philippe Poutou, Jean Lassalle). Décryptage. METTRE DE L'ORDRE DANS « LE CONTINENT NUMÉRIQUE » Jean-Luc Mélenchon - La France insoumise
Profiter des opportunités offertes par le numérique, mais lutter contre l'ubérisation et contre les menaces sur le travail, l'emploi et la souveraineté de la France. Telle est la philosophie de Jean-Luc Mélenchon pour « rendre le continent numérique au peuple ». Le premier homme politique à avoir utilisé un hologramme dans un meeting, le 5 février dernier, axe ses propositions sur la lutte contre l'hégémonie des géants américains (Google, Apple, Facebook, Amazon, Microsoft, Uber, Netflix...), la promotion des modèles alternatifs et l'accompagnement des citoyens. Ses 10 mesures phares : Lutte contre l'optimisation fiscale et les pratiques anti-concurrentielles des géants américains du Net ; développer l'économie collaborative. Création d'un standard « clair et lisible » de description des CGU (conditions générales d'utilisation) pour mieux informer les citoyens sur l'utilisation de leurs données personnelles par les plateformes. Généralisation du logiciel libre pour les administrations et les établissements publics, fin des contrats entre Microsoft et l'État dans l'éducation et la défense. Généralisation de l'open data. Suppression de la loi Hadopi, réforme du droit d'auteur pour créer un « système de rémunération global de la création » via une cotisation liée à l'abonnement Internet; défense de la neutralité du Net. Création d'une plateforme publique d'offre légale en ligne de contenus culturels (musique, films). Suppression du méga-fichier d'identité TES, lutte contre la surveillance généralisée des citoyens par l'État, soutien au chiffrement. Protection des lanceurs d'alerte, nationalité française à Edward Snowden et Julian Assange. Couverture en très haut débit du territoire d'ici à 2022. Suppression du Crédit impôt recherche (CIR) remplacé par « un financement fléché » vers des programmes précis... qui restent encore à définir.FAIRE BASCULER LA SOCIÉTÉ DANS L'ÈRE NUMÉRIQUE Emmanuel Macron - En Marche !
L'ancien ministre de l'Économie s'inscrit clairement dans la continuité du quinquennat de François Hollande, dont il partage en partie le bilan numérique. Ses propositions font ressortir trois grandes priorités : amplifier la dynamique de l'innovation, réformer le fonctionnement de l'État et utiliser le digital dans tous les pans de l'action publique. Ses 10 mesures phares : Investir 10 milliards d'euros, issus de son plan d'investissements de 50 milliards d'euros, pour « redéfinir l'action publique », avec l'objectif en 2022 de réaliser 100% des démarches administratives en ligne. Création d'un « compte-citoyen » en ligne pour rassembler sur une même plateforme tous ses droits. Création d'un « service public numérique de la justice » pour les citoyens et leurs avocats ; outils numériques d'aide à la décision pour les juges. Stratégie d'inclusion numérique : création d'une « plateforme numérique collaborative » pour les handicapés (accès aux diplômes facilité, partage des bonnes pratiques locales), création d'un réseau d'accompagnement numérique sur tout le territoire pour les populations les plus fragiles. « Stabilité et visibilité » en matière fiscale pour développer l'innovation : « sanctuarisation » des dispositifs existants (Crédit impôt recherche, Crédit impôt innovation, dispositif Jeunes Entreprises Innovantes), renforcement du rôle de Bpifrance pour faciliter la transformation numérique des PME et TPE. Usine du futur : création d'un Fonds pour l'industrie et l'innovation de 10 milliards d'euros, financé par la vente d'actions dans des entreprises possédées de manière minoritaire par l'État. Création d'un « droit à l'expérimentation » pour faciliter le test de nouvelles solutions en permettant aux entreprises de déroger provisoirement aux dispositions en vigueur. Création d'un Fonds européen de financement en capital-risque de 5 milliards d'euros pour les startups ; renégociation du Privacy Shield ; création d'une Agence européenne pour la confiance numérique chargée de réguler les grandes plateformes numériques américaines. Télémédecine, e-santé : simplification des procédures d'autorisation et de mise sur le marché pour stimuler l'innovation. Culture : créer un « Netflix européen » ; Pass Culture d'un montant de 500 euros financé par les distributeurs et les grandes plateformes numériques, destiné à tous les jeunes à partir de 18 ans pour accéder aux activités culturelles de leur choix via une application. Poursuite du Plan France Très Haut Débit (PFTHD).LE PROGRÈS TECHNOLOGIQUE « POUR AMÉLIORER LA VIE » Benoît Hamon - Parti socialiste
BENOÎT HAMON - Parti socialiste « Il y a ceux qui pensent que le progrès technologique va permettre d'augmenter les profits et les richesses, et ceux qui, comme moi, considèrent qu'il doit améliorer la vie des gens », expliquait Benoît Hamon au Parisien le 16 mars. Le candidat issu de la primaire de la gauche place les transformations économiques et sociétales au coeur de son programme, notamment l'évolution du travail. Pour lui, le numérique est un levier, dans tous les secteurs, pour résorber les inégalités et créer « un futur désirable ». Ses 10 mesures phares : Taxe sur les robots pour financer un Fonds de transition travail (FTT) dédié à la formation au retour vers l'emploi des personnes dont le travail est désormais effectué par une machine intelligente. Création d'un statut de l'actif pour lutter contre « l'ubérisation débridée » et assurer à tous le même niveau de protection sociale. Renforcement du rôle de Bpifrance pour aider les TPE-PME-PMI ; création d'une monnaie alternative inter-entreprises pour leur permettre de s'échanger des services sans mobiliser leur trésorerie. 3 % du PIB dédié à la recherche et développement ; création d'un Crédit innovation sociale. Numérique pour tous : stratégie d'inclusion numérique, très haut débit fixe et mobile partout. E-démocratie : co-construction de certaines lois avec les citoyens ; budget participatif au niveau national ; protection des lanceurs d'alerte au niveau européen. Plan « Hôpital digital 2022 ». Garantir la loyauté des algorithmes et la neutralité du Net, mieux protéger des données personnelles. Soutien à l'entrepreneuriat culturel, aux biens communs de la connaissance. Taxe sur les bénéfices détournés des multinationales, obligation de transparence fiscale aux entreprises.LE NUMÉRIQUE COMME LEVIER DE CROISSANCE ET DE SOUVERAINETÉ François Fillon - Les Républicains
La vision du candidat de la droite sur le numérique est dominée par les enjeux économiques et de souveraineté. Très peu de propositions sur la culture, l'éducation, l'inclusion numérique et l'edémocratie. En revanche, François Fillon compte s'appuyer sur l'Europe pour tenir à distance les géants américains. En France, ses propositions visent avant tout à « libérer l'innovation » et à simplifier l'administration. Ses 10 mesures phares : Construire une « véritable souveraineté numérique européenne » : porter un programme d'appels à projets européens dans l'intelligence artificielle et la blockchain ; accepter des dérogations aux règles de la commande publique en cas d'enjeux d'autonomie stratégique et de cybersécurité. Créer un écosystème franco-allemand puis européen du financement de l'innovation : fonds souverain, banque publique d'investissement, « NASDAQ » franco-allemand. Renégocier le Privacy Shield et le Règlement européen sur les données personnelles (RGPD). Éducation : transformer le cours de technologie du collège en cours de « culture numérique » ; recruter des enseignants en informatique ; introduire un module numérique dans toutes les formations supérieures. Mener des états généraux de l'économie et de l'innovation, qui aboutira sur un grand plan de rattrapage/accompagnement des PME/PMI pour leur transformation numérique. Refonte du compte entrepreneur investisseur, développement des actions gratuites et des stocks options pour les salariés. Orienter davantage l'épargne vers le financement des PME innovantes et des fonds de capital-risque. Refinancer le Plan Très Haut Débit (qui coûte déjà 20 milliards d'euros) pour accélérer le déploiement de la fibre d'ici à 2022 ; initier un « Plan 5G ». Dématérialiser toutes les procédures administratives d'ici à 2022 : créer un identifiant numérique unique auprès de toutes les administrations : poursuivre la démarche d'open data dans les services publics. Télémédecine et e-santé : faciliter le déploiement des objets connectés de santé, déployer le big data et l'intelligence artificielle dans la santé, simplifier le parcours des soins grâce à des plateformes de services numériques.UN PROGRAMME TRÈS MAIGRE ET TRÈS IMPRÉCIS Marine Le Pen - Front national
Contrairement aux autres candidats issus des "grands" partis, le numérique est la dernière roue du carrosse dans le programme de Marine Le Pen, qui n'y consacre qu'une dizaine de propositions sur 144. La candidate d'extrême-droite se distingue par une approche très vague, généraliste, se contentant d'égrener quelques grandes orientations sans aller dans le détail. Ses propositions - dont certaines ne modifient que très légèrement l'existant - se concentrent sur la protection des données personnelles, le financement de l'innovation et la culture. Ses 10 mesures phares : Créer « une charte à valeur constitutionnelle » incluant la protection des données personnelles ; obliger les entreprises à stocker les données de leurs clients dans des serveurs localisés en France. Créer un secrétariat d'Etat consacré aux mutations économiques, rattaché au ministère des Finances, pour anticiper les évolutions du travail. Établir une « nouvelle régulation » pour préserver une concurrence loyale, avec les secteurs concernés. « Fixer » l'innovation en France : une entreprise qui reçoit des aides publiques ne pourra pas se vendre à une société étrangère pendant dix ans. Financement : recentrer le Crédit impôt recherche (CIR) vers les PME et les startups ; diriger une part de l'assurance-vie (2 %) vers le capital-risque et les startups ; inciter les grands groupes à créer leur propre fonds d'investissement dans les entreprises innovantes. Augmenter de 30 % le budget public de la recherche. Moderniser le système de santé grâce aux startups. Fusionner la carte Vitale biométrique avec la carte d'identité pour lutter contre la fraude. Supprimer Hadopi et « ouvrir le chantier de la licence globale ». Soutenir l'investissement dans le très haut débit.LA SOUVERAINETÉ NUMÉRIQUE A TOUT PRIX Nicolas Dupont-Aignan - Debout la République
Le candidat souverainiste parle peu de l'économie numérique et des enjeux de transformation de la société. En revanche, il défend des positions tranchées et plutôt complètes sur quelques grands sujets : la souveraineté de la France, l'ouverture des données publiques et l'imbroglio autour des droits d'auteurs. Ses 10 mesures phares : Abroger la loi Hadopi, légaliser le téléchargement pour mettre à disposition des internautes toutes les uvres artistiques de l'humanité et rémunérer les auteurs par une licence globale. Créer une "médiathèque universelle à laquelle chaque citoyen aurait accès : livres, films, pièces de théâtre, chansons » et qui serait financée par une "contribution forfaitaire mensuelle sur chaque abonnement internet". vaste programme de "numérisation du patrimoine français" où tous les contenus publics seraient regroupés sur une même plateforme. Créer les équivalents francophones aux GAFA américains : un "Google francophone" ainsi que des réseaux sociaux francophones. Qwant, champion français de la recherche en ligne éthique, et tout l'écosystème des services alternatifs aux géants américains apprécieront. Héberger les données des Français en France, même pour les services étrangers. 20 nouveaux supercalculateurs pour "booster la recherche scientifique" dans les nouvelles technologies Généraliser les logiciels libres et souverains, notamment pour se prémunir de l'espionnage étranger Développer les "smart cities" notamment pour fluidifier les transports et optimiser la consommation énergétique L'Etat redeviendra majoritaire au capital d'Orange. Lancement d'une "OPA amicale" sur Nokia-Alcatel pour créer un "champion numérique français". développer le télétravail, mettre fin au zones blanches par l'accélération du très haut débit pour tousPROTECTIONNISME DÉMESURÉ ET ANTI-UBERISATION François Asselineau - Union populaire républicaine (UPR)
L'invité-surprise de la présidentielle a publié un programme très étayé sur son site, dans tous les domaines, y compris le numérique qui a droit à une section spéciale, mais qui se retrouve également dans la plupart des autres thèmes. Résolument opposé à "l'ubérisation" de l'économie et de la société, François Asselineau veut revenir sur les lois encadrant la "nouvelle économie" sans proposer de modèle alternatif autre que le soutien aux professions menacées. Il promeut également un web refermé sur la France Ses 10 mesures phares : Lutte contre l'ubérisation : abrogation des lois Macron et El Khomri ; protection du statut du salariat : protection du statut des professions réglementées (artisans-taxis, avocats, notaires, médecins, pharmaciens...) Interdiction de stocker les données des Français hors de France ; Interdiction du transfert des données des Français à l'étranger (entreprise, Etat ou institution) Renationalisation d'Orange (anciennement France Télécom) et de TF1 Agriculture : favoriser les circuits courts ; création d'Agridistrib, un outil internet connectant les producteurs et les plates-formes de distribution locale. Education : CAPES d'informatique en vue d'un enseignement au lycée pour prôner "une utilisation modérée et intelligente des nouvelles technologies" suppression du Crédit Impôt Recherche (CIR) Lancer des "états généraux de la formation et de l'aide à l'innovation" pour les PME/TPE. Données personnelles : Définir l'utlisateur comme le propriétaire de ses données ; Interdire les dispositifs de surveillance massive (abrogation des lois LOPPSI 2, loi Renseignement, réforme de la LCEN etc) ; promotion des opérateurs et hébergeurs alternatifs aux GAFA Généralisation du logiciel libre dans les administrations ; création d'un réseau chiffré national pour le transfert des données de santé. Créer un "droit universel à l'Internet et à l'information" ; garantir l'anonymat sur internet ; protéger les lanceurs d'alerte ; garantir la neutralité du NetLE NUMERIQUE BISOUNOURS Jacques Cheminade - Solidarité et progrès
Comme d'autres "petits" candidats", Jacques Cheminade parsème ici ou là son programme de quelques propositions numériques, sans beaucoup réfléchir sur les enjeux de transformation de l'économie et de la société. Son credo : louer les "bons" usages et stigmatiser les "mauvais", quitte à flirter avec la naïveté, comme sur la régulation des géants du Net ou le numérique à l'école, ou à manquer cruellement de précision. Ses mesures phares : Créer un grand service public du numérique fournissant, à des tarifs réglementés, un accès universel au numérique, "haut de gamme", sur l'ensemble du territoire. Mobiliser France Télévisions au service de "contenus intelligents" disponibles gratuitement sur internet via une plateforme éducative. Aucun écran à l'école jusqu'au CE1 (6 ans) car plusieurs études ont "démontré leur nocivité en terme de concentration, de luminosité, voire d'ondes". Généralisation du très haut débit pour éliminer les zones blanches. Créer une "assemblée de 500 citoyens" tirés au sort, chargés de réfléchir sur "l'appropriation citoyenne de la révolution numérique" et l'impact des technologies sur la société, avec l'aide d'experts. Créer une Autorité européenne du numérique, pour négocier avec les Etats-Unis le "partage de la valeur fiscale", et donc forcer les géants du Net à payer leurs impôts dans chaque pays où ils réalisent du chiffre d'affaires. Bannir les jeux vidéos violents, via une interdiction ou une surtaxe systématique des contenus "avilissant la personne humaine" comme les tirs instinctifs de certains jeux vidéos. L'une des raisons de cette mesure est la corrélation, selon lui, entre jeux vidéos et violence, notamment terroriste.LE VIDE, OU PRESQUE Nathalie Artaud - Lutte ouvrière, Philippe Poutou - Nouveau parti anticapitaliste, et Jean Lassalle - Résistons !
Les enjeux du numérique, qu'ils soient économiques ou sociétaux, semblent complètement passer au-dessus de la tête de Jean Lassalle. Le berger qui rêve d'Elysée n'ignore pas totalement le numérique, mais il se contente de quelques mesurettes imprécises disséminées au bonheur la chance dans ses diverses thématiques. En voici une compilation presque exhaustive : Les mesures phares de Jean Lassalle : ouverture des données publiques : "garantir l'accès en ligne, gratuit, au savoir produit par la recherche publique" et "publication sous forme de PDF de tous jugements et décisions d'autorités publiques, anonymisés". éducation : 10 millions d'euros pour développer l'utilisation du numérique "dans le travail personnel parascolaire" et "enseigner la pratique de l'informatique, de son "code", dès le primaire". santé : faciliter par une plateforme internet "le suivi et l'effet des médicaments", ce qui aurait été pratique, selon lui, pour prendre en compte l'avis des praticiens sur "l'acide hyaluronique contre l'arthrose du genou". sécurité : "étendre les systèmes d'alerte en cas d'urgence à tous les moyens de communication électronique (SMS, réseaux sociaux etc"), travail : créer un "site public de comptabilité pour les indépendants" qui leur permettrait d'effectuer directement leurs déclarations.Quant à Nathalie Artaud et Philippe Poutou, le numérique est à peine mentionné dans leur programme. Seule exception : le domaine de la culture, où la candidate de Lutte Ouvrière milite pour la numérisation des bibliothèques et des archives, et pour la nécessité de mettre en place un accès à internet dans les bibliothèques de quartier. De son côté, le candidat du Nouveau parti anticapitaliste, star des réseaux sociaux depuis le débat sur BFM TV et CNews du 4 avril, n'est pas plus prolixe. La seule mesure numérique de Philippe Poutou concerne aussi la culture : abroger la loi Hadopi sur le téléchargement illégal.
Jean-Luc Mélenchon, Emmanuel Macron, Benoît Hamon, François Fillon, Marine Le Pen, Nicolas Dupont-Aignan, François Asselineau, Philippe Poutou, Nathalie Artaud, Jacques Cheminade et Jean Lassalle. La Tribune fait le point sur leur programme sur le numérique.
DATE-CHARGEMENT: 11 Mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
CODE-REVUE: TRIBFR
Copyright 2017 La Tribune
Tous droits réservés
488 of 500 DOCUMENTS
Economie Matin
15 avril 2017 04:00 AM GMT
Cloud et accès à privilèges : la protection des données au centre des enjeux
LONGUEUR: 965 mots
Selon les experts du cabinet Markess International, le marché français du cloud a enregistré une forte croissance ces dix dernières années, et serait passé de 900 millions d'euros en 2007 à 5,9 milliards d'euros en 2016. Ils estiment qu'il devrait poursuivre sa croissance et connaître une progression de 18,6 % pour s'élever à près de 7 milliards d'euros cette année. En résumé, et sur le papier, le cloud se porte incontestablement bien. Pourtant, bien qu'on en parle depuis longtemps, la véritable adoption du cloud est seulement en train de se produire ; les entreprises ont compris qu'elles ne pouvaient faire l'impasse pour rester compétitives. La Société Générale vient notamment d'annoncer que d'ici 2020, 80 % de son infrastructure sera sur des réseaux cloud internes et externes. Le fait que les banques embrassent le cloud, bien qu'elles manipulent des données à caractère sensible, ouvre la voie aux autres infrastructures critiques et d'importance vitale.
Il est par conséquent indispensable qu'elles pensent la sécurité aux premiers stades du développement de leur stratégie de transformation digitale. La digitalisation, nouvelle autoroute vers le vol de données Ces dernières années ont en effet vu apparaître une forte appétence de la part des organisations pour les offres SaaS (Software-as-a-Service) et le cloud public telles qu'Amazon Web Services (AWS). Nous avons également observé un nombre croissant d'entreprises externaliser leur messagerie à travers des offres telles qu'Office 365. La raison ? Une recherche d'efficacité et de gain de temps afin de permettre aux équipes de déléguer les tâches à faible valeur ajoutée à ces outils, pour se concentrer davantage sur leurs coeurs de métiers. Par essence, le cloud est géré en externe. Les organisations doivent donc faire confiance à des services tiers qui prennent en charge leurs données. Le fait que cette gestion soit externalisée ne permet donc pas aux entreprises de savoir de quelles manières leurs informations sont précisément traitées et sécurisées. Elles ont en effet besoin d'une visibilité totale sur ces activités et sur la gestion de leurs comptes à privilèges. Ces derniers permettant d'accéder à l'ensemble du système d'une organisation et d'en prendre le contrôle, il est essentiel d'en assurer le suivi de la manière la plus scrupuleuse possible. Pour aider les entreprises à optimiser la flexibilité de leur infrastructure, de nombreux fournisseurs cloud ont donc mis en place des solutions de centralisation et d'automatisation des systèmes. Le but est ainsi de limiter autant que possible l'intervention humaine, souvent citée comme couteuse et potentiellement source d'erreurs. Ce qui permet également de répondre aux exigences du règlement européen de gestion des données personnelles** (RGPD, ou GDPR en anglais) dont l'entrée en vigueur est prévue en mai 2018. Cependant, toute mise en place d'un orchestrateur, soit un système permettant de gérer l'automatisation de toutes les opérations du cloud, induit une protection de ce dernier. En effet, si un pirate informatique parvient à le compromettre et à en prendre le contrôle, il accède à tous les comptes à privilèges de l'organisation, bénéficiant alors des pleins pouvoirs sur l'ensemble des systèmes visés. Cela en fait ainsi une cible autant sinon plus sensible qu'un annuaire Active Directory, ne donnant par défaut que les clés de l'environnement Windows. Une question qui n'a pas échappé au règlement à venir qui prévoit de " s'applique[r] au traitement de données à caractère personnel, automatisé en tout ou partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. " [Art.2] RGPD : Légiférer pour mieux accompagner et protéger Dans ce contexte, le RGPD " introduit l'obligation, pour les responsables du traitement et les sous-traitants, de conserver une trace documentaire des opérations de traitement sous leurs responsabilité " [Art.28], et insiste ainsi sur l'importance des personnes tierces - partenaires, fournisseurs de services cloud, consultant externes - qui accèdent aux données des organisations, soulevant ainsi la question de la répartition des responsabilités à travers la chaîne de distribution (supply chain) pour sécuriser et auditer les accès aux données personnelles. Afin de répondre à cette problématique, le règlement prévoit notamment (mais pas uniquement) la mise en place d'une structure de gouvernance au travers de la désignation d'un acteur en charge du programme de protection des données au sein de l'entreprise (DPO - ou Data Privacy Officer). Mais au-delà de la définition des responsabilités, des contrôles fins sont nécessaires, raison pour laquelle il est également primordial d'adopter des mécanismes de contrôle et de traçabilité. Ces contrôles doivent permettre non seulement de protéger, mais également d'identifier les causes de failles afin de prendre les mesures correctives nécessaires quant à la protection des données personnelles. En conclusion, la transformation digitale des organisations est en marche depuis plusieurs années mais s'accélère avec l'arrivée constante de nouvelles technologies et offres boostées par les avantages du cloud. Cela induit une augmentation drastique des données et crée un besoin pressant de pouvoir les gérer. Toutefois, les entreprises ne sont pas toujours équipées pour y faire face et n'ont pas toutes anticipé la protection de ces informations dans leurs stratégies. C'est donc à travers une étroite collaboration et en bonne intelligence que fournisseurs et entreprises pourront lutter ensemble contre les cyberattaques les plus avancées, et éviter ainsi une sanction si les règles édictées par le RGPD ne sont pas appliquées à compter de mai 2018 !
DATE-CHARGEMENT: 19 avril 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Economie Matin
Tous droits réservés
489 of 500 DOCUMENTS
Les Echos
mercredi 29 mars 2017
Quand la pub vous regarde
AUTEUR: DENIS FAINSILBER
RUBRIQUE: ARTICLE; Une armée d'yeux invisibles; Pg. 15 N°. 22414
LONGUEUR: 1920 mots
ENCART: Les géants de l'affichage cherchent à cerner de près le profil des passants pour aider les annonceurs à cibler leurs publicités. Des technologies discrètes qui ne sont pas du goût de tout le monde.
Par le biais d'une caméra isolant les visages, couplée à un logiciel, certains panneaux peuvent déduire le sexe d'une personne, son âge approximatif et jusqu'à son humeur supposée face à ce qu'elle voit.
Alors qu'elle attendait son tram avenue Louise, la grande artère commerçante de Bruxelles, en cette fin 2016, la députée écologiste belge Céline Delforge est tombée des nues : juste à côté d'elle, le cadre du panneau publicitaire de son Abribus contenait l'objectif d'une webcam, sans aucune justification. « J'aimerais beaucoup savoir à quoi sert ceci sur le montant des pubs LED », a-t-elle aussitôt réagi, dans un tweet dénonçant l'oeil inquisiteur. Certes, officiellement, les caméras installées par Clear Channel dans dix arrêts de la ville n'étaient alors pas encore activées. « Le but officiel de ces caméras terriblement discrètes était de mener certaines actions marketing, par exemple en faisant apparaître la tête d'un passant dans une pub, dénonce la députée, très peu sensible à la dimension ludique du projet. Mais qui surveille ces logiciels ? On devrait croire un afficheur sur parole ? Je suis sûre qu'il y a de la collecte de données. »
De plus en plus souvent, dans la plupart des grandes métropoles, la publicité dérange ou inquiète, jugée trop intrusive par certains, voire soupçonnée d'un « pistage » de plus en plus systématique dans l'espace public. En février dernier, le Conseil d'Etat, confirmant un premier veto de la CNIL (Commission nationale de l'informatique et des libertés), refusait à JCDecaux le droit d'étudier finement le flux des passants sur la dalle de la Défense, à partir... de leur téléphone portable. L'idée du leader mondial de la publicité extérieure était de capter pendant un mois les adresses MAC des smartphones, via des boîtiers wi-fi discrètement installés sur ses totems publicitaires. De quoi reconstituer les allées et venues afin d'affiner l'audience du quartier d'affaires, arpenté quotidiennement par 170.000 salariés et 25.000 résidents. Pas assez de garanties sur l'anonymisation des données recueillies, a tranché le Conseil d'Etat.
« Notre objectif n'a jamais été d'envoyer des publicités sur les portables, il s'agissait avant tout de tester une méthode différente pour quantifier l'audience. Dans beaucoup de pays du monde, nous déployons des mesures d'audience innovantes : à cet égard, la France ne doit pas prendre de retard », se justifie Albert Asséraf, directeur général stratégie, data et nouveaux usages chez JCDecaux, qui n'a pas renoncé à trouver un nouveau procédé afin de rentrer dans les clous juridiques. Aux Champs-Elysées, le même afficheur a déployé sans difficulté, depuis l'été dernier, un système d'accès gratuit au wi-fi installé sur ses 56 colonnes Morris, avec la bénédiction des commerçants du lieu. Immédiatement ciblés dès qu'ils arpentent la célèbre avenue, touristes ou Parisiens reçoivent, en cochant une case, les annonces des nombreuses boutiques alentour et leurs promotions en cours.
Une armée d'yeux invisibles
Fini le temps des affiches papier 4 × 3, installées avec balai et colle, objets passifs par excellence. Avec leur mobilier « intelligent », notamment les écrans « full HD » ou digitaux qui fleurissent désormais dans les gares, galeries marchandes, Abribus et aéroports (la France compte à présent 40.000 vitrines de ce type), les afficheurs sont lancés à la poursuite du Web ou de la télévision. Leur nouvelle tâche : saucissonner la journée en tranches pour cibler les messages en fonction de la typologie de l'audience à un moment précis. « Tous les médias ont une mesure d'audience. Mais le Web a introduit quelque chose de nouveau : la mesure pratiquement en temps réel. Cela nous fait réfléchir à nos propres méthodes », ajoute le responsable de JCDecaux.
Habitués depuis des décennies aux bonnes vieilles enquêtes « socio-démo » compilées à coup de données Insee, d'enquêtes téléphoniques BVA ou d'études de consommation, les annonceurs rêvent désormais à plus moderne. Pour cela, une foule d'équipementiers jouent des coudes, prêts à fournir aux géants de l'« outdoor » les capteurs, logiciels ou algorithmes qui les aideront à « tracker » et à qualifier leur audience. A l'image de ce qui se fait déjà largement à l'intérieur des magasins. Exemple de ces nombreux acteurs, Quividi, une firme parisienne qui travaille dans 53 pays et qui ne réalise que de 5 à 10 % de ses ventes dans l'Hexagone. Sa spécialité : un outil mesurant l'attention réellement portée à une publicité, notion plus précise que la seule présence d'un passant. Par le biais d'une caméra isolant un visage, couplée à un logiciel analysant les flux vidéo, l'outil déduit le sexe d'une personne, son âge approximatif et jusqu'à son humeur supposée face à ce qu'elle voit ! Grâce à cela, un annonceur peut évaluer l'intérêt du public pour son message.
Des millions de visages scrutés
Environ 700 millions de visages sont ainsi scrutés chaque mois par cette firme, anonymement, dans des bureaux de poste chinois, les grandes gares italiennes, des « malls » américains ou divers commerces en Angleterre. « En soi, la technologie n'est pas très nouvelle et il existe de nombreux acteurs sur la place, mais l'équipement est devenu de plus en plus puissant, souligne Ke-Quang Nguyen-Phuc, le PDG de Quividi. Les annonceurs ont besoin de savoir ; pour eux, chaque jour compte. Comme dit l'un de mes clients : "Je veux vendre de l'audience, pas des impressions." »Ainsi, outre-Manche, le géant de la distribution Tesco a installé fin 2013 des écrans très particuliers près des caisses de 450 supérettes, où défilent 5 millions de personnes chaque semaine : un oeil invisible scanne à son insu la première personne dans la file, détermine son sexe et sa tranche d'âge pour afficher en temps réel une publicité, adaptée à ses affinités présumées. La roue tourne ainsi toute la journée. En Angleterre toujours, un miniscandale a éclaté voilà cinq ans dans la City de Londres : d'innocentes poubelles de rue, bardées d'écrans publicitaires, avaient l'étrange manie de comptabiliser les flux piétonniers. Dispositif rapidement abandonné. A New York, même type de surprise quand fut révélée, en 2014, la présence de plus de 500 capteurs invisibles que la régie publicitaire Titan avait disposés dans des cabines téléphoniques pour envoyer des publicités ciblées. A Montréal, ce sont les Abribus qui sont devenus « intelligents », activant par exemple une publicité sous forme vidéo lorsqu'un quidam s'approche.
En Chine, Smart Me Up, une petite start-up grenobloise spécialisée dans la reconnaissance faciale, a équipé 25.000 magasins de ses bornes maison : logées dans des panneaux diffusant des contenus, elles scrutent le degré d'attention des clients. « Nous ne travaillons pas sur le comptage, mais sur l'analyse du visage en elle-même, tout en respectant la vie privée. L'analyse est faite directement, il n'y a pas d'images remontant dans un serveur », détaille Loïc Lecerf, fondateur de la société.
Et la France dans tout ça ? A en croire les professionnels, on est à la veille du big bang. Ou à l'avant-veille. Car l'Hexagone s'est doté de certains garde-fous : la loi « Grenelle II » de juillet 2010, révisant le Code de l'environnement, a prévu que toute mesure automatique d'audience d'une pub doit être soumise à l'agrément de la CNIL : « Une disposition unique au monde », selon un professionnel. « La France demande du temps mais le marché est très demandeur. On sait qu'on va y aller », observe le patron de Quividi. Les centres commerciaux semblent être les plus prompts à sauter le pas.
« Il y a un blocage culturel sur la question, mais il va y avoir une sorte d'évangélisation au fur et à mesure », ajoute Arnaud Bingono, fondateur de Jacare Technologies, spécialisé notamment dans les techniques analytiques face aux publicités. « Dans les magasins, il existe déjà des dizaines de milliers de capteurs, par exemple des "beacons" (balises, dont le but est d'analyser le trafic exact par rayon et éventuellement d'afficher des pubs sur les portables de ceux qui téléchargent une appli. Dans l'espace public, c'est plus compliqué que dans le "retail". Mais les technos sont là, il y a énormément de choses à faire en France. » Selon lui, des écrans dans des gares, certaines cabines Photomaton ou encore les distributeurs de boissons des stations d'autoroute seraient déjà équipés de divers capteurs, pas encore activés.
Métro : un loupé phénoménal
Il faut dire que la France a connu, en matière de mobilier « intelligent », un loupé phénoménal, qui a laissé des traces. Fin 2008, le métro parisien a commencé à s'équiper, par le truchement de la régie Metrobus (67 % Publicis et 33 % Decaux), d'armoires publicitaires numériques intégrant des systèmes vidéo destinés à compter les passants, à classer leur morphologie et à localiser l'endroit exact où ils posent leur regard, en scrutant la position de la tête. Face à la bronca des associations antipub dénonçant ces « panneaux espions », la RATP et Metrobus ont renoncé alors à utiliser ces fameuses caméras - même si la CNIL leur a donné largement raison en 2010. Chat échaudé craint l'eau froide : aujourd'hui encore, et malgré l'essor rapide des armoires high-tech, les gestionnaires des couloirs du métro ne sont pas revenus à la charge. « Le déploiement du mobilier digital accompagne la modernisation des stations. Mais il n'est pas à l'ordre du jour d'y installer des caméras ou des capteurs, dans aucun de nos réseaux », explique une porte-parole de Mediatransports, qui coiffe non seulement les transports parisiens mais aussi le RER, le Transilien, les gares SNCF et les réseaux de 50 agglomérations françaises. Dans les rangs des antipub, on reste sceptique. « Pour nous, c'est la théorie de la grenouille au bain-marie : on attend que les gens s'habituent avant de franchir un nouveau palier. Le Grenelle de l'environnement a certes encadré les écrans, mais l'on aimerait bien que la CNIL fasse des contrôles surprise », estiment les représentants de l'association Résistance à l'agression publicitaire (RAP).
Verra-t-on maintenant fleurir sur les trottoirs de la capitale ce que l'on a banni en sous-sol ? Pour la première fois, Paris s'apprête à basculer vers l'affichage digital, qui devrait bientôt représenter 15 % des futurs panneaux, selon le contrat entériné cette semaine avec Somupi, filiale de JCDecaux (66 %) et de Publicis (34 %). Des écrans connectés et pilotés à distance. « Le digital donne une vraie dimension nouvelle, permet de changer n'importe quel message dans les minutes qui précèdent sa diffusion. Mais ces mobiliers parisiens ne présenteront aucun outil de mesure, de comptage ou de captation de données », assure Albert Asséraf. Big Brother n'a pas encore le dernier mot, d'autant que les professionnels vont devoir s'adapter au nouveau règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai 2018 et encadrera mieux le profilage. Tout n'est donc pas perdu pour les défenseurs des balades anonymes dans la jungle urbaine.
Ce que dit la CNIL
Les dispositifs utilisant des images vidéo ou des smartphones pour mesurer l'audience de panneaux publicitaires doivent respecter plusieurs points :
Les images ne doivent pas être enregistrées, ni transmises à des tiers, ni visibles par les prestataires chargés de ces dispositifs.
Une information claire doit être affichée dans les lieux concernés.
Les données étant anonymisées, l'exercice du droit de rectification et d'opposition ne peut s'appliquer.
DATE-CHARGEMENT: 29 mars 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Par le biais d'une caméra isolant les visages, couplée à un logiciel, certains panneaux peuvent déduire le sexe d'une personne, son âge approximatif et jusqu'à son humeur supposée face à ce qu'elle voit.
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés
490 of 500 DOCUMENTS
Acteurs publics
28 mars 2017
En surchauffe, la Cnil demande des postes supplémentaires
RUBRIQUE: ACTUALITES
LONGUEUR: 770 mots
2017, pour la Commission nationale de l'informatique et des libertés (Cnil), "c'est la cote d'alerte", selon l'expression employée par sa présidente, Isabelle Falque-Pierrotin, le 27 mars. Et rien de tel qu'une conférence de presse pour le faire savoir, estime celle qui ne demande "que des moyens raisonnables, qui correspondent aux nouvelles charges de la Cnil : 6 ETP [équivalents temps plein, ndlr] en 2018, 5 en 2019 et 5 en 2020".
"Tous les métiers de la Cnil sont extrêmement sollicités, ce qui n'est pas anormal au moment où se poursuit la transition numérique des acteurs publics et privés, qui plus est, sous le régime de l'état d'urgence et en fin de mandature, où les sollicitations pour des avis sont les plus nombreuses", décrit Isabelle Falque-Pierrotin. En sus, à la faveur de la loi pour une République numérique d'octobre 2016, la Cnil investit désormais le champ de l'éthique, ayant mandat pour organiser débat public et réflexions de fond. La Commission rendra ainsi aux pouvoirs publics un premier bilan des échanges et contributions sur le thème des algorithmes à l'automne 2017.
Avec l'ajout régulier de nouvelles missions, "la Cnil est aujourd'hui un régulateur complet, de la pédagogie jusqu'à la sanction", ce qui implique de voter une nouvelle "loi Cnil II", d'après Isabelle Falque-Pierrotin.
Une nouvelle loi à déposer avant l'été 2017
Car 2017, c'est aussi l'antichambre de l'entrée en vigueur - en mai 2018 - d'un texte crucial : le règlement européen sur la protection des données (RGPD), qui fixe le cadre général applicable à l'ensemble des traitements de données à caractère personnel dans les pays de l'Union européenne. Ce règlement européen rebat les cartes. Pour "tenir compte de ce nouvel environnement", il n'est d'autre choix que de faire adopter une nouvelle loi "informatique et libertés" avant le 25 mai 2018, "sous peine de rendre très largement inapplicable le nouveau cadre de protection en France", prévient la Cnil.
Traduction : le texte doit être déposé en Conseil des ministres avant l'été 2017... Une gageure pour l'institution, qui assure "travailler d'ores et déjà étroitement avec la Chancellerie pour préparer le projet de loi".
Autre défi, non des moindres : assurer la mue, au sein de 50 000 organismes publics et 80 000 entreprises, des correspondants informatique et libertés (CIL), en "data protection officers" (DPO), une obligation prévue par le règlement européen. Pour l'heure, seuls 17 725 organismes ont désigné ces correspondants de la Cnil en interne. Il faudra donc accélérer le mouvement, sous peine de sanctions financières, jusqu'à 20 millions d'euros (ou 4 % du chiffre d'affaires mondial pour une entreprise).
Mégafichiers sécurisés ?
En revanche, le RGPD ne sera pas applicable à certains traitements de données, notamment les fichiers relatifs à la sécurité publique. Sur ce point, le fichier des titres électroniques sécurisés (TES) qui réunit dans une seule base les données (identité, couleur des yeux, domicile, photo, empreintes digitales...) des détenteurs d'un passeport et d'une carte d'identité nationale, a donc de beaux jours devant lui, et ce malgré les mises en garde de la Cnil en octobre 2016 [lire notre article]. "La Cnil a touché du doigt le fait que l'architecture technique ne présentait pas toutes les qualités nécessaires suffisantes pour que les données personnelles soient protégées, rappelle Isabelle Falque-Pierrotin, interrogée par Acteurs publics. Nous avons dit ce que nous avions à dire. Il s'agit désormais d'une responsabilité politique qui n'est pas la nôtre." A l'époque, la présidente de la Commission avait notamment exprimé sa crainte que le fichier "soit utilisé pour permettre l'identification des gens à la volée".
Un autre mégafichier a aussi attiré l'attention de la Cnil : le Système national des données de santé (SNDS), en vigueur le 1er avril prochain, qui compilera d'ici le mois de juin 2017 les données de santé de l'assurance maladie obligatoire (base Sniiram), des établissements de santé (base PMSI) ainsi que les causes médicales de décès (base du CEPIDC de l'Inserm) [lire notre article]. Soit 1,2 milliard de feuilles de soins, 500 millions d'actes médicaux et 11 millions d'hospitalisations par an.
Le secrétaire général de la Cnil, Édouard Geffray, qui souligne "la taille très importante de la base", indique que la Commission "a travaillé à la sécurisation de l'accès à ces données au niveau de l'architecture technique du système". Il "espère" désormais que l'accès sera bel et bien garanti dans des conditions de sécurité optimales.
Pour accéder au rapport annuel 2016 de la Cnil, cliquez ici
DATE-CHARGEMENT: 28 mars 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
Copyright 2017 Société d'édition publique
Tous droits resérvés
491 of 500 DOCUMENTS
La Tribune
Mardi 28 Mars 2017
Présidentielle 2017 : ce que proposent les candidats pour le numérique
AUTEUR: Sylvain Rolland
RUBRIQUE: FOCUS; Pg. 7
LONGUEUR: 1732 mots
ENCART: Contrairement à l'élection présidentielle de 2012, les principaux candidats de 2017 - sauf Marine Le Pen, très imprécise sur le sujet - intègrent dans leur vision de l'avenir de la France les enjeux de la transformation numérique de l'économie et de la société. Si certains sujets font consensus, les diverses sensibilités politiques s'expriment sur les questions de souveraineté, de fiscalité, de financement de l'innovation, d'inclusion par le numérique ou encore dans le domaine de la culture.
METTRE DE L'ORDRE DANS « LE CONTINENT NUMÉRIQUE »
JEAN-LUC MÉLENCHON - La France insoumise Profiter des opportunités offertes par le numérique, mais lutter contre l'ubérisation et contre les menaces sur le travail, l'emploi et la souveraineté de la France. Telle est la philosophie de Jean-Luc Mélenchon pour « rendre le continent numérique au peuple ». Le premier homme politique à avoir utilisé un hologramme dans un meeting, le 5 février dernier, axe ses propositions sur la lutte contre l'hégémonie des géants américains (Google, Apple, Facebook, Amazon, Microsoft, Uber, Netflix...), la promotion des modèles alternatifs et l'accompagnement des citoyens. 10 mesures phares : Lutte contre l'optimisation fiscale et les pratiques anti-concurrentielles des géants américains du Net ; développer l'économie collaborative. Création d'un standard « clair et lisible » de description des CGU (conditions générales d'utilisation) pour mieux informer les citoyens sur l'utilisation de leurs données personnelles par les plateformes. Généralisation du logiciel libre pour les administrations et les établissements publics, fin des contrats entre Microsoft et l'État dans l'éducation et la défense.
Généralisation de l'open data. Suppression de la loi Hadopi, réforme du droit d'auteur pour créer un « système de rémunération global de la création » via une cotisation liée à l'abonnement Internet ; défense de la neutralité du Net. Création d'une plateforme publique d'offre légale en ligne de contenus culturels (musique, films). Suppression du méga-fichier d'identité TES, lutte contre la surveillance généralisée des citoyens par l'État, soutien au chiffrement. Protection des lanceurs d'alerte, nationalité française à Edward Snowden et Julian Assange. Couverture en très haut débit du territoire d'ici à 2022. Suppression du Crédit impôt recherche (CIR) remplacé par « un financement fléché » vers des programmes précis... qui restent encore à définir. FAIRE BASCULER LA SOCIÉTÉ DANS L'ÈRE NUMÉRIQUE
EMMANUEL MACRON - En Marche ! L'ancien ministre de l'Économie s'inscrit clairement dans la continuité du quinquennat de François Hollande, dont il partage en partie le bilan numérique. Ses propositions font ressortir trois grandes priorités : amplifier la dynamique de l'innovation, réformer le fonctionnement de l'État et utiliser le digital dans tous les pans de l'action publique. 10 mesures phares : Investir 10 milliards d'euros, issus de son plan d'investissements de 50 milliards d'euros, pour « redéfinir l'action publique », avec l'objectif en 2022 de réaliser 100 % des démarches administratives en ligne. Création d'un « compte-citoyen » en ligne pour rassembler sur une même plateforme tous ses droits. Création d'un « service public numérique de la justice » pour les citoyens et leurs avocats ; outils numériques d'aide à la décision pour les juges. Stratégie d'inclusion numérique : création d'une « plateforme numérique collaborative » pour les handicapés (accès aux diplômes facilité, partage des bonnes pratiques locales), création d'un réseau d'accompagnement numérique sur tout le territoire pour les populations les plus fragiles. « Stabilité et visibilité » en matière fiscale pour développer l'innovation : « sanctuarisation » des dispositifs existants (Crédit impôt recherche, Crédit impôt innovation, dispositif Jeunes Entreprises Innovantes), renforcement du rôle de Bpifrance pour faciliter la transformation numérique des PME et TPE. Usine du futur : création d'un Fonds pour l'industrie et l'innovation de 10 milliards d'euros, financé par la vente d'actions dans des entreprises possédées de manière minoritaire par l'État. Création d'un « droit à l'expérimentation » pour faciliter le test de nouvelles solutions en permettant aux entreprises de déroger provisoirement aux dispositions en vigueur. Création d'un Fonds européen de financement en capital-risque de 5 milliards d'euros pour les startups ; renégociation du Privacy Shield ; création d'une Agence européenne pour la confiance numérique chargée de réguler les grandes plateformes numériques américaines. Télémédecine, e-santé : simplification des procédures d'autorisation et de mise sur le marché pour stimuler l'innovation. Culture : créer un « Netflix européen » ; Pass Culture d'un montant de 500 euros financé par les distributeurs et les grandes plateformes numériques, destiné à tous les jeunes à partir de 18 ans pour accéder aux activités culturelles de leur choix via une application. Poursuite du Plan France Très Haut Débit (PFTHD). LE PROGRÈS TECHNOLOGIQUE « POUR AMÉLIORER LA VIE »
BENOÎT HAMON - Parti socialiste « Il y a ceux qui pensent que le progrès technologique va permettre d'augmenter les profits et les richesses, et ceux qui, comme moi, considèrent qu'il doit améliorer la vie des gens », expliquait Benoît Hamon au Parisien le 16 mars. Le candidat issu de la primaire de la gauche place les transformations économiques et sociétales au coeur de son programme, notamment l'évolution du travail. Pour lui, le numérique est un levier, dans tous les secteurs, pour résorber les inégalités et créer « un futur désirable ». 10 mesures phares : Taxe sur les robots pour financer un Fonds de transition travail (FTT) dédié à la formation au retour vers l'emploi des personnes dont le travail est désormais effectué par une machine intelligente. Création d'un statut de l'actif pour lutter contre « l'ubérisation débridée » et assurer à tous le même niveau de protection sociale. Renforcement du rôle de Bpifrance pour aider les TPE-PME-PMI ; création d'une monnaie alternative inter-entreprises pour leur permettre de s'échanger des services sans mobiliser leur trésorerie. 3 % du PIB dédié à la recherche et développement ; création d'un Crédit innovation sociale. Numérique pour tous : stratégie d'inclusion numérique, très haut débit fixe et mobile partout. E-démocratie : co-construction de certaines lois avec les citoyens ; budget participatif au niveau national ; protection des lanceurs d'alerte au niveau européen. Plan « Hôpital digital 2022 ». Garantir la loyauté des algorithmes et la neutralité du Net, mieux protéger des données personnelles. Soutien à l'entrepreneuriat culturel, aux biens communs de la connaissance. Taxe sur les bénéfices détournés des multinationales, obligation de transparence fiscale aux entreprises. LE NUMÉRIQUE COMME LEVIER DE CROISSANCE ET DE SOUVERAINETÉ
FRANÇOIS FILLON - Les Républicains La vision du candidat de la droite sur le numérique est dominée par les enjeux économiques et de souveraineté. Très peu de propositions sur la culture, l'éducation, l'inclusion numérique et l'edémocratie. En revanche, François Fillon compte s'appuyer sur l'Europe pour tenir à distance les géants américains. En France, ses propositions visent avant tout à « libérer l'innovation » et à simplifier l'administration. 10 mesures phares : Construire une « véritable souveraineté numérique européenne » : porter un programme d'appels à projets européens dans l'intelligence artificielle et la blockchain ; accepter des dérogations aux règles de la commande publique en cas d'enjeux d'autonomie stratégique et de cybersécurité. Créer un écosystème franco-allemand puis européen du financement de l'innovation : fonds souverain, banque publique d'investissement, « NASDAQ » franco-allemand. Renégocier le Privacy Shield et le Règlement européen sur les données personnelles (RGPD). Éducation : transformer le cours de technologie du collège en cours de « culture numérique » ; recruter des enseignants en informatique ; introduire un module numérique dans toutes les formations supérieures. Mener des états généraux de l'économie et de l'innovation, qui aboutira sur un grand plan de rattrapage/accompagnement des PME/PMI pour leur transformation numérique. Refonte du compte entrepreneur investisseur, développement des actions gratuites et des stocks options pour les salariés. Orienter davantage l'épargne vers le financement des PME innovantes et des fonds de capital-risque. Refinancer le Plan Très Haut Débit (qui coûte déjà 20 milliards d'euros) pour accélérer le déploiement de la fibre d'ici à 2022 ; initier un « Plan 5G ». Dématérialiser toutes les procédures administratives d'ici à 2022 : créer un identifiant numérique unique auprès de toutes les administrations : poursuivre la démarche d'open data dans les services publics. Télémédecine et e-santé : faciliter le déploiement des objets connectés de santé, déployer le big data et l'intelligence artificielle dans la santé, simplifier le parcours des soins grâce à des plateformes de services numériques. UN PROGRAMME MAIGRE ET TRÈS IMPRÉCIS
MARINE LE PEN - Front national Contrairement aux autres candidats, le numérique est la dernière roue du carrosse dans le programme de Marine Le Pen, qui n'y consacre qu'une dizaine de propositions sur 144. La candidate d'extrême-droite se distingue par une approche très vague, généraliste, se contentant d'égrener quelques grandes orientations sans aller dans le détail. Ses propositions - dont certaines ne modifient que très légèrement l'existant - se concentrent sur la protection des données personnelles, le financement de l'innovation et la culture. 10 mesures phares : Créer « une charte à valeur constitutionnelle » incluant la protection des données personnelles ; obliger les entreprises à stocker les données de leurs clients dans des serveurs localisés en France. Créer un secrétariat d'Etat consacré aux mutations économiques, rattaché au ministère des Finances, pour anticiper les évolutions du travail. Établir une « nouvelle régulation » pour préserver une concurrence loyale, avec les secteurs concernés. « Fixer » l'innovation en France : une entreprise qui reçoit des aides publiques ne pourra pas se vendre à une société étrangère pendant dix ans. Financement : recentrer le Crédit impôt recherche (CIR) vers les PME et les startups ; diriger une part de l'assurance-vie (2 %) vers le capital-risque et les startups ; inciter les grands groupes à créer leur propre fonds d'investissement dans les entreprises innovantes. Augmenter de 30 % le budget public de la recherche. Moderniser le système de santé grâce aux startups. Fusionner la carte Vitale biométrique avec la carte d'identité pour lutter contre la fraude. Supprimer Hadopi et « ouvrir le chantier de la licence globale ». Soutenir l'investissement dans le très haut débit.
DATE-CHARGEMENT: 11 Mai 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
CODE-REVUE: TRIBNE
Copyright 2017 La Tribune
Tous droits réservés
492 of 500 DOCUMENTS
Les Echos.fr
mardi 28 mars 2017
Quand la pub vous regarde
AUTEUR: DENIS FAINSILBER
RUBRIQUE: ARTICLE; De la pub contre le wifi gratuit
LONGUEUR: 2232 mots
ENCART: Les géants de l'affichage cherchent à cerner de plus en plus près le profil des passants, pour aider les annonceurs à cibler leurs publicité. Des technologies discrètes qui ne sont pas du goût de tout le monde.
Alors qu'elle attendait tranquillement son tram à un arrêt de l'avenue Louise, une artère commerçante de Bruxelles, en cette fin 2016, la députée écologiste belge Céline Delforge est tombée des nues : juste à côté d'elle, le cadre du panneau publicitaire de son abribus contenait l'objectif d'une webcam, sans aucune justification. « J'aimerais beaucoup savoir à quoi sert ceci sur le montant des pubs LED », a-t-elle aussitôt réagi dans un tweet dénonçant l'oeil inquisiteur. Certes, officiellement, les caméras installées par Clear Channel dans dix arrêts de la ville n'étaient alors pas activées, et n'étaient pas destinées à compter l'audience. « Le but officiel de ces caméras terriblement discrètes était de mener certaines actions marketing, par exemple en faisant apparaître la tête d'un passant dans une pub », dénonce la députée très peu sensible à la dimension ludique du projet. « Mais qui surveille ces logiciels ? On devrait croire un afficheur sur parole? Je suis sûre qu'il y a de la collecte de données. »
De plus en plus souvent, dans la plupart des grandes métropoles, la publicité dérange ou inquiète, jugée trop intrusive par certains, sinon soupçonnée d'un « pistage» de plus en plus systématique dans l'espace public. En février dernier, le Conseil d'Etat, confirmant un précédent veto de la Cnil (Commission nationale de l'informatique et des libertés), refusait à JCDecaux le droit de d'étudier finement le flux des passants sur la dalle de La Défense, à partir... de leurs téléphones portables. L'idée du leader mondial de la publicité extérieure était de capter pendant un mois les adresses MAC des smartphones, via des boîtiers wifi discrètement installés sur ses totems publicitaires. De quoi reconstituer leurs allées et venues, afin d'affiner l'audience de l'un des principaux quartiers d'affaires d'Europe, arpenté quotidiennement par 170.000 salariés. Pas assez de garanties sur l'anonymisation des données recueillies, a tranché la plus haute juridiction administrative. « Notre objectif n'a jamais été d'envoyer des publicités sur les portables, il s'agissait avant tout de tester une méthode différente pour quantifier l'audience. Dans beaucoup de pays du monde, nous déployons des mesures d'audience innovantes, à cet égard la France ne doit pas prendre de retard », se justifie Albert Asséraf, directeur général stratégie, data et nouveaux usages chez JCDecaux, qui n'a pas renoncé à trouver un nouveau procédé afin de rentrer dans les clous juridiques.
De la pub contre le wifi gratuit
Aux Champs-Elysées, le même afficheur a déployé sans difficulté depuis l'été dernier un système d'accès gratuit au wifi, installé sur ses 56 colonnes Morris, avec la bénédiction des commerçants de l'avenue. Immédiatement ciblés dès qu'ils arpentent la célèbre avenue, touristes ou Parisiens reçoivent, en cochant une case, les annonces des nombreuses boutiques alentours et leurs promotions en cours. Le système permettant même, entre autres, de viser dans leur langue les seuls visiteurs japonais.
Fini le temps des affiches papier 4X3, installées avec balai et colle à papier peint, objets passifs par excellence. Avec leur mobilier « intelligent », notamment les écrans « full HD » ou digitaux qui fleurissent désormais dans les gares, galeries marchandes, abribus, aéroports ou parkings (la France compte à présent 40.000 vitrines de ce type), les afficheurs sont lancés à la poursuite du web ou de la télévision. Leur nouvelle tâche : saucissonner la journée en tranches, pour cibler les messages en fonction de la typologie de l'audience à un moment précis. « Tous les médias ont une mesure d'audience, et les habitudes de déplacement sont au fond similaires à des habitudes de lecture en presse. Mais le web a introduit quelque chose de nouveau: la mesure pratiquement en temps réel. Ca nous fait réfléchir à nos propres méthodes », ajoute le responsable de JCDecaux. Habitués depuis des décennies aux bonnes vieilles enquêtes «socio-démo», compilées à coup de données Insee, d'enquêtes téléphoniques BVA ou d'études de consommation type Kantar, les annonceurs rêvent désormais à plus moderne. Pour cela, une foule d'équipementiers jouent des coudes, prêts à fournir aux géant de « l'outdoor » les caméras, capteurs, logiciels ou algorithmes qui les aideront à « tracker » et qualifier leur audience. A l'image de ce qui se fait déjà largement à l'intérieur des magasins.
Discrète reconnaissance faciale
Exemple de ces nombreux acteurs, Quividi, une firme parisienne qui travaille dans 53 pays, et qui ne réalise que 5 à 10% de ses ventes dans l'Hexagone. Sa spécialité : un outil mesurant l'attention réellement portée à une publicité, une notion plus précise que la seule présence d'un passant près d'un panneau. Par le biais d'une caméra isolant un visage, couplée à un logiciel analysant les flux video, l'outil déduit le sexe d'une personne, son âge approximatif, le temps passé, jusqu'à son humeur supposée face à ce qu'il voit! Grâce à cela, un annonceur peut évaluer l'intérêt du public pour son message. Environ 700 millions de visages sont ainsi scrutés chaque mois par cette firme, automatiquement et anonymement, dans des bureaux de poste chinois, les grandes gares italiennes, des «malls» américains ou divers points de vente en Angleterre. «En soi, la technologie n'est pas très nouvelle, et il existe de nombreux acteurs sur la place, mais l'équipement est devenu de plus en plus puissant», estime Ke-Quang Nguyen-Phuc, le PDG de Quividi. «Les annonceurs ont besoin de savoir, et quand ils lancent une campagne de 15 jours, pour eux, chaque jour compte. Comme dit l'un de mes clients: « je veux vendre de l'audience, pas des impressions » ».
Vidéo : Avec Quividi, les écrans publicitaires vous regardent
Beaucoup de pays, comme la Grande-Bretagne, les Pays-Bas, les Etats-Unis et la Chine, sont pour ces professionnels un gisement nettement plus riche que la France, jugée timorée en raison du respect plus strict de la vie privée. Ainsi outre-Manche, le géant de la distribution Tesco a installé dès la fin 2013 des écrans très particuliers près des caisses de 450 supérettes, où défilent 5 millions de personnes chaque semaine: un oeil invisible scanne à son insu la première personne dans la file, détermine son sexe, sa tranche d'âge, pour afficher en temps réel une publicité, adaptée à ses affinités présumées. Et ainsi de suite au long de la journée. En cas de succès, le prestataire responsable de ce procédé ne s'interdisait pas de l'étendre aux hôpitaux, banques et aéroports du pays.
La Grande-Bretagne, pays précurseur
En Angleterre toujours, un mini scandale a éclaté voilà cinq ans dans la City de Londres: d'innocentes poubelles de rue, bardées d'écrans publicitaires, avaient pris l'étrange manie (comme le projet ultérieur de la Défense), de comptabiliser les flux piétonniers, soit 500.000 smartphones recensés en une semaine. Dispositif rapidement abandonné. A New York, même type de surprise quand fut révélée en 2014 la présence de plus de 500 capteurs invisibles, que la régie publicitaire Titan avait disposé dans des cabines téléphoniques de Big Apple, pour envoyer des publicités ciblées ou analyser les allées et venues. A Montréal, ce sont les abribus qui sont devenus intelligents, activant par exemple une publicité sous forme video, avec le son en prime, lorsqu'un quidam approche du panneau.
En Chine, Smart Me Up, une petite start-up grenobloise spécialisée dans la reconnaissance faciale, a équipé 25.000 magasins de ses bornes maison: logées dans des panneaux diffusant des contenus, elles scrutent le degré d'attention des clients. «Nous ne travaillons pas sur le comptage, mais sur l'analyse du visage en elle-même, tout en respectant la vie privée. L'analyse est faite directement « en embarqué », il n'y a pas d'images remontant dans un serveur». détaille Loïc Lecerf, fondateur de la jeune société.
La France demande du temps, mais on sait qu'on va y aller
Et la France dans tout ça? A en croire les professionnels, on est à la veille du big bang. Ou à l'avant-veille. Car l'Hexagone s'est doté de certains garde-fous destinés à protéger le public: la loi « Grenelle 2 » de juillet 2010 révisant le code de l'environnement a prévu que toute mesure automatique d'audience doit être soumise à l'agrément de la CNIL: une disposition unique au monde, selon un professionnel. Laquelle a sans doute refroidi les plus audacieux. « La France demande du temps, mais le marché est très demandeur. On sait qu'on va y aller », observe le patron de Quividi. Les centres commerciaux semblent être les plus prompts à sauter le pas.
« Il y a un blocage culturel sur la question, mais il va y avoir une espèce d'évangélisation au fur et à mesure », ajoute Arnaud Bingono, fondateur de Jacare technologies, spécialisé notamment dans les techniques analytiques et le comptage face aux publicités. « Dans les magasins, il existe déjà des dizaines de milliers de capteurs, par exemple des beacons (balises) dont le but est d'analyser le trafic exact par rayons, et éventuellement d'afficher des pubs sur portables pour ceux qui téléchargent une appli. Dans l'espace public, c'est plus compliqué que dans le retail. Mais les technos sont là, il y a énormément de choses à faire en France ». Selon lui, certains écrans dans des gares, les cabines Photomaton de nouvelle génération ou encore les distributeurs de boissons des stations d'autoroute seraient déjà pré-équipés de divers capteurs, pas encore activés.
Le flop des couloirs du métro parisien
Il faut dire que la France a connu, en matière de mobilier « intelligent », un loupé phénoménal, qui a laissé des traces dans la profession. Fin 2008, le métro parisien a commencé à s'équiper, par le truchement de la régie publicitaire Metrobus (67% Publicis et 33% Decaux) d'armoires publicitaires numériques abondamment éclairées, intégrant des systèmes video destinés à compter les passants, classer leur morphologie, et localiser l'endroit exact où ils posent leur regard, en scrutant la position de la tête. Face à la bronca des associations anti pub dénonçant ces « panneaux espions », dont Résistance à l'agression publicitaire (RAP), Le Publiphobe ou Souriez vous êtes filmés, la RATP et Metrobus renoncent alors d'utiliser ces fameuses caméras. Même si la Cnil leur donne finalement raison en 2010, après avoir ausculté les mobiliers incriminés.
Chat échaudé craint l'eau froide: aujourd'hui encore, et malgré l'essor rapide des armoires hightech, les exploitants des couloirs du métro ne sont pas revenus à la charge. « Le déploiement du mobilier digital accompagne la modernisation des stations, et participe à leur montée en gamme. Mais il n'est pas à l'ordre du jour d'y installer des caméras ou des capteurs, dans aucun de nos réseaux », explique une porte-parole de Mediatransports, qui coiffe non seulement les transports parisiens mais aussi le RER, le Transilien, les gares SNCF et les réseaux de 50 agglomérations françaises. Dans les rangs des antipub, on reste sceptique face à cet angélisme. « Pour nous, c'est la théorie de la grenouille au bain-marie: on attend que ça se normalise, que les gens s'habituent avant de franchir un nouveau palier. Le Grenelle de l'Environnement a certes encadré les écrans, mais l'on aimerait bien que la Cnil fasse des contrôles surprises », estiment les représentants de l'association RAP.
Lire aussi :
JCDecaux conserve le marché des panneaux d'affichage de Paris
Verra-t-on fleurir sur les trottoirs de la capitale ce que l'on a banni en sous-sol? Pour la première fois, la ville de Paris s'apprête à basculer vers l'affichage digital, qui devrait bientôt représenter 15% des futurs panneaux, selon le contrat entériné cette semaine avec Somupi, filiale de JCDecaux (66%) et de Publicis (34%). Des écrans connectés et pilotés à distance. « Le digital donne une vraie dimension nouvelle, il permet de dire des choses différentes selon le moment de la journée, ou de changer n'importe quel message dans les minutes qui précèdent sa diffusion. Mais ces mobiliers ne présenteront aucun outil de mesure, de comptage ou de captation de données », assure Albert Asséraf.
Si les nouvelles techniques de mesure d'audience sur la voie publique ont le vent en poupe, la mode est à l'évidence venue d'internet. Fini le marketing de masse, tout annonceur qui se respecte cherche à personnaliser son message. « Le marketing est très friand de traçabilité, et comme l'on dispose désormais de capacités de calcul énormes, on sait reconnaître une même personne via les différents supports qu'il utilise. Or sur un site internet, on est déjà parfaitement capable de connaître le parcours détaillé d'un client, dès que celui-ci coche la croix « accepter les cookies » sur son écran: sauf que pour l'affichage, on est dans le monde physique, et le recueil de son consentement est plus difficile dans ce monde réel », analyse Céline Avignon, spécialisée dans la publicité et le marketing électronique au cabinet d'avocats Alain Bensoussan.
Enfin, Big brother n'a pas encore le dernier mot: les professionnels vont devoir s'adapter au nouveau règlement européen sur la protection des données (RGPD), qui entrera en vigueur en mai 2018, et devrait mieux encadrer le profilage. Tout n'est donc pas perdu pour les défenseurs des balades anonymes dans la jungle urbaine.
DATE-CHARGEMENT: 29 mars 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Groupe Les Echos
tous droits réservés
493 of 500 DOCUMENTS
24 Heures
23 mars 2017 jeudi
Édition Region
Les PME suisses face au choc culturel de la gestion des données clients;
e
AUTEUR: Sallier
RUBRIQUE: ACTUALITE; Page 11
LONGUEUR: 614 mots
Le règlement général sur la protection des données (RGPD) entre en vigueur en mai 2018. Cette nouvelle réglementation de l'UE vise tous ceux qui traitent avec des clients en Europe. Elle représente un défi dont un grand nombre d'entreprises suisses n'ont pas pris la mesure, ont averti mardi à Genève plusieurs experts du cabinet de conseil Pw C. Droit à l'oubli des clients, mais aussi à l'accès ou à la rectification des données les concernant: ce règlement exige que n'importe quelle société puisse prouver qu'elle sait ce qu'il advient des masses de données accumulées sur ses clients européens. «Si vous êtes une société helvétique mais que vous vendez en Europe par exemple sur Internet , vous devrez vous mettre en conformité», prévient Nicolas Vernaz, chez Pw C.
Berne suivra, mais avec retard
En Suisse également, les textes en matière de protection de la vie privée des clients sont en pleine refonte. Le Conseil fédéral soumet à consultation, jusqu'au 4 avril, le nouveau projet de loi sur la protection des données la LPD. «Une véritable course contre la montre législative est engagée avec l'Europe, cependant il est peu probable que cette loi entre en vigueur avant la fin de 2018», estime Nicolas Vernaz.
Amende de 20 millions
Le tour de vis imposé par les autorités européennes à partir de 2018 apparaît très contraignant. Elles exigent ainsi que soit désigné dans chaque société un responsable de la «protection des données», afin de faire l'interface avec les autorités. En Europe, il manquerait 60 000 de ces spécialistes, à la jonction entre juristes et informaticiens. «En Suisse, il y a simplement un préposé à la protection des données pour chaque canton», précise Yoann Le Corvic, spécialiste de e- Xpert Solutions, société informatique genevoise qui aide les entreprises à se mettre en conformité en matière de contrôle de l'information.
En cas de fuite de données, les entreprises sont en outre tenues par Bruxelles de faire un point sur la situation aux autorités et aux personnes affectées dans les septante-deux heures. «Ce n'est pas en trois jours que vous préparerez un dossier solide prouvant votre bonne gestion des données clients», prévient Philippe Eyriès, président de Dathena, société lausannoise spécialisée dans la gestion des données d'entreprise. «Il y a là un choc culturel, en Suisse il n'y a pas d'obligation d'annoncer de telles failles», relève Yoann Le Corvic.
Attention, les sanctions prévues par les autorités européennes peuvent s'élever à 20 millions d'euros ou à 4% du chiffre d'affaires mondial de la société défaillante. Bruxelles pourra également imposer une «restriction» à une firme dont les procédures de contrôle seraient insuffisantes l'empêchant, par exemple, d'échanger des données avec ses filiales européennes. «En Suisse, on évoque des amendes jusqu'à 0,5 million, déjà une vraie nouveauté», décrypte Nicolas Vernaz.
Attention au publipostage
Les banques apparaissent les mieux préparées à ces nouveaux contrôles: leur autorité de tutelle, la FINMA, leur impose depuis longtemps un suivi extrêmement précis de leurs clients.
En revanche, «les PME n'ont pas vraiment conscience qu'elles seront concernées à moins de vivre coupées du marché européen», souffle Yoann Le Corvic. Toute l'entreprise sera concernée, «en particulier les équipes marketing ou la société externe qui s'occupent de publipostage sans trop se soucier du devenir des données accumulées», pointe quant à lui Nicolas Vernaz. Des exigences de contrôle qui apparaissent déjà comme du pain bénit pour tous les cabinets de conseils, les avocats et les sociétés informatiques. Pierre- Alexandre
DATE-CHARGEMENT: 23. mars 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Edipresse Publications SA
Tous Droits Réservés
494 of 500 DOCUMENTS
La Tribune Hebdomadaire
23 mars 2017
CE QUE PROPOSENT LES CANDIDATS POUR LE NUMÉRIQUE
AUTEUR: SYLVAIN ROLLAND
RUBRIQUE: PRÉSIDENTIELLE 2017; Pg. 20,22
LONGUEUR: 1821 mots
Contrairement à l'élection présidentielle de 2012, les principaux candidats de 2017 - sauf Marine Le Pen, très imprécise sur le sujet - intègrent dans leur vision de l'avenir de la France les enjeux de la transformation numérique de l'économie et de la société. Si certains sujets font consensus, les diverses sensibilités politiques s'expriment sur les questions de souveraineté, de fiscalité, de financement de l'innovation, d'inclusion par le numérique ou encore dans le domaine de la culture.
JEAN-LUC MÉLENCHON La France insoumise
METTRE DE L'ORDRE DANS " LE CONTINENT NUMÉRIQUE "
Profiter des opportunités offertes par le numérique, mais lutter contre l'ubérisation et contre les menaces sur le travail, l'emploi et la souveraineté de la France. Telle est la philosophie de Jean-Luc Mélenchon pour " rendre le continent numérique au peuple ". Le premier homme politique à avoir utilisé un hologramme dans un meeting, le 5 février dernier, axe ses propositions sur la lutte contre l'hégémonie des géants américains (Google, Apple, Facebook, Amazon, Microsoft, Uber, Netflix...), la promotion des modèles alternatifs et l'accompagnement des citoyens.
SES 10 MESURES PHARES :
- Lutte contre l'optimisation fiscale et les pratiques anti-concurrentielles des géants américains du Net ; développer l'économie collaborative.
- Création d'un standard " clair et lisible " de description des CGU (conditions générales d'utilisation) pour mieux informer les citoyens sur l'utilisation de leurs données personnelles par les plateformes.
- Généralisation du logiciel libre pour les administrations et les établissements publics, fin des contrats entre Microsoft et l'État dans l'éducation et la défense.
- Généralisation de l'open data.
- Suppression de la loi Hadopi, réforme du droit d'auteur pour créer un " système de rémunération global de la création " via une cotisation liée à l'abonnement Internet ; défense de la neutralité du Net.
- Création d'une plateforme publique d'offre légale en ligne de contenus culturels (musique, films).
- Suppression du méga-fichier d'identité TES, lutte contre la surveillance généralisée des citoyens par l'État, soutien au chiffrement.
- Protection des lanceurs d'alerte, nationalité française à Edward Snowden et Julian Assange.
- Couverture en très haut débit du territoire d'ici à 2022.
- Suppression du Crédit impôt recherche (CIR) remplacé par " un financement fléché " vers des programmes précis... qui restent encore à définir.
EMMANUEL MACRON En Marche !
FAIRE BASCULER LA SOCIÉTÉ DANS L'ÈRE NUMÉRIQUE
L'ancien ministre de l'Économie s'inscrit clairement dans la continuité du quinquennat de François Hollande, dont il partage en partie le bilan numérique. Ses propositions font ressortir trois grandes priorités : amplifier la dynamique de l'innovation, réformer le fonctionnement de l'État et utiliser le digital dans tous les pans de l'action publique.
SES 10 MESURES PHARES :
- Investir 10milliards d'euros, issus de son plan d'investissements de 50 milliards d'euros, pour
" redéfinir l'action publique ", avec l'objectif en
2022 de réaliser 100 % des démarches administratives en ligne. Création d'un " compte-citoyen " en ligne pour rassembler sur une même plateforme tous ses droits.
- Création d'un " service public numérique de la justice " pour les citoyens et leurs avocats ; outils numériques d'aide à la décision pour les juges.
- Stratégie d'inclusion numérique : création d'une " plateforme numérique collaborative " pour les handicapés (accès aux diplômes facilité, partage des bonnes pratiques locales), création d'un réseau d'accompagnement numérique sur tout le territoire pour les populations les plus fragiles.
- " Stabilité et visibilité " en matière fiscale pour développer l'innovation : " sanctuarisation " des dispositifs existants (Crédit impôt recherche, Crédit impôt innovation, dispositif Jeunes Entreprises Innovantes), renforcement du rôle de Bpifrance pour faciliter la transformation numérique des PME et TPE.
- Usine du futur : création d'un Fonds pour l'industrie et l'innovation de 10 milliards d'euros, financé par la vente d'actions dans des entreprises possédées de manière minoritaire par l'État.
- Création d'un " droit à l'expérimentation " pour faciliter le test de nouvelles solutions en permettant aux entreprises de déroger provisoirement aux dispositions en vigueur.
- Création d'un Fonds européen de financement en capital-risque de 5 milliards d'euros pour les startups ; renégociation du Privacy Shield ; création d'une Agence européenne pour la confiance numérique chargée de réguler les grandes plateformes numériques américaines.
- Télémédecine, e-santé : simplification des procédures d'autorisation et de mise sur le marché pour stimuler l'innovation.
- Culture : créer un " Netflix européen " ; Pass Culture d'un montant de 500 euros financé par les distributeurs et les grandes plateformes numériques, destiné à tous les jeunes à partir de 18 ans pour accéder aux activités culturelles de leur choix via une application.
- Poursuite du Plan France
Très Haut Débit (PFTHD).
BENOÎT HAMON Parti socialiste
LE PROGRÈS TECHNOLOGIQUE " POUR AMÉLIORER LA VIE "
" Il y a ceux qui pensent que le progrès technologique va permettre d'augmenter les profits et les richesses, et ceux qui, comme moi, considèrent qu'il doit améliorer la vie des gens ", expliquait Benoît Hamon au
Parisien le 16 mars. Le candidat issu de la primaire de la gauche place les transformations économiques et sociétales au coeur de son programme, notamment l'évolution du travail. Pour lui, le numérique est un levier, dans tous les secteurs, pour résorber les inégalités et créer " un futur désirable ".
SES 10 MESURES PHARES :
- Taxe sur les robots pour financer un Fonds de transition travail (FTT) dédié à la formation au retour vers l'emploi des personnes dont le travail est désormais effectué par une machine intelligente.
- Création d'un statut de l'actif pour lutter contre
" l'ubérisation débridée " et assurer à tous le même niveau de protection sociale.
- Renforcement du rôle de Bpifrance pour aider les TPE-PME-PMI ; création d'une monnaie alternative inter-entreprises pour leur permettre de s'échanger des services sans mobiliser leur trésorerie.
- 3 % du PIB dédié à la recherche et développement ; création d'un Crédit innovation sociale.
- Numérique pour tous : stratégie d'inclusion numérique, très haut débit fixe et mobile partout.
- E-démocratie : co-construction de certaines lois avec les citoyens ; budget participatif au niveau national ; protection des lanceurs d'alerte au niveau européen.
- Plan " Hôpital digital 2022 ".
- Garantir la loyauté des algorithmes et la neutralité du Net, mieux protéger des données personnelles.
- Soutien à l'entrepreneuriat culturel, aux biens communs de la connaissance.
- Taxe sur les bénéfices détournés des multinationales, obligation de transparence fiscale aux entreprises.
FRANÇOIS FILLON Les Républicains
LE NUMÉRIQUE COMME LEVIER DE CROISSANCE ET DE SOUVERAINETÉ
La vision du candidat de la droite sur le numérique est dominée par les enjeux économiques et de souveraineté. Très peu de propositions sur la culture, l'éducation, l'inclusion numérique et l'edémocratie. En revanche, François Fillon compte s'appuyer sur l'Europe pour tenir à distance les géants américains. En France, ses propositions visent avant tout à " libérer l'innovation " et à simplifier l'administration.
SES 10 MESURES PHARES :
- Construire une " véritable souveraineté numérique européenne " : porter un programme d'appels à projets européens dans l'intelligence artificielle et la blockchain ; accepter des dérogations aux règles de la commande publique en cas d'enjeux d'autonomie stratégique et de cybersécurité.
- Créer un écosystème franco-allemand puis européen du financement de l'innovation : fonds souverain, banque publique d'investissement, " NASDAQ " franco-allemand.
- Renégocier le Privacy Shield et le Règlement européen sur les données personnelles (RGPD).
- Éducation : transformer le cours de technologie du collège en cours de " culture numérique " ; recruter des enseignants en informatique ; introduire un module numérique dans toutes les formations supérieures.
- Mener des états généraux de l'économie et de l'innovation, qui aboutira sur un grand plan de rattrapage/accompagnement des PME/PMI pour leur transformation numérique.
- Refonte du compte entrepreneur investisseur, développement des actions gratuites et des stocks options pour les salariés.
- Orienter davantage l'épargne vers le financement des PME innovantes et des fonds de capital-risque.
- Refinancer le Plan Très Haut Débit (qui coûte déjà
20 milliards d'euros) pour accélérer le déploiement de la fibre d'ici à 2022 ; initier un " Plan 5G ".
- Dématérialiser toutes les procédures administratives d'ici à 2022 : créer un identifiant numérique unique auprès de toutes les administrations : poursuivre la démarche d'open data dans les services publics.
- Télémédecine et e-santé : faciliter le déploiement des objets connectés de santé, déployer le big data
et l'intelligence artificielle dans la santé, simplifier le parcours des soins grâce à des plateformes de services numériques.
MARINE LE PEN Front national
UN PROGRAMME MAIGRE ET TRÈS IMPRÉCIS
Contrairement aux autres candidats, le numérique est la dernière roue du carrosse dans le programme de Marine Le Pen, qui n'y consacre qu'une dizaine de propositions sur 144. La candidate d'extrême-droite se distingue par une approche très vague, généraliste, se contentant d'égrener quelques grandes orientations sans aller dans le détail. Ses propositions - dont certaines ne modifient que très légèrement l'existant - se concentrent sur la protection des données personnelles, le financement de l'innovation et la culture.
SES 10 MESURES PHARES :
- Créer " une charte à valeur constitutionnelle " incluant la protection des données personnelles ; obliger les entreprises à stocker les données de leurs clients dans des serveurs localisés en France.
- Créer un secrétariat d'Etat consacré aux mutations économiques, rattaché au ministère des Finances, pour anticiper les évolutions du travail.
- Établir une " nouvelle régulation " pour préserver une concurrence loyale, avec les secteurs concernés.
- " Fixer " l'innovation en France : une entreprise qui reçoit des aides publiques ne pourra pas se vendre à une société étrangère pendant dix ans.
- Financement : recentrer le Crédit impôt recherche (CIR) vers les PME et les startups ; diriger une part de l'assurance-vie (2 %) vers le capital-risque et les startups ; inciter les grands groupes à créer leur propre fonds d'investissement dans les entreprises innovantes.
- Augmenter de 30 % le budget public de la recherche.
- Moderniser le système de santé grâce aux startups.
- Fusionner la carte Vitale biométrique avec la carte d'identité pour lutter contre la fraude.
- Supprimer Hadopi et " ouvrir le chantier de la licence globale ".
- Soutenir l'investissement dans le très haut débit.
DATE-CHARGEMENT: March 22, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: Photos : Reuters
Photos : Reuters
TYPE-PUBLICATION: Magazine
Copyright 2017 La Tribune
Tous droits réservés
495 of 500 DOCUMENTS
Stratégies
16 mars 2017
Edition 1;
National Edition
Le nouveau visage de la reconnaissance faciale;
DISTRIBUTION Le rÈglement européen sur la data qui se profile en 2018 pourrait compliquer la mise en place de la reconnaissance faciale.
AUTEUR: EMMANUEL GAVARD
RUBRIQUE: BUSINESS / CULTURE TECH; Pg. 24,25
LONGUEUR: 866 mots
jusqu'ici, la reconnaissance faciale en magasin était souvent considérée comme un gadget. Il faut dire que sa technologie n'était pas trÈs aboutie : elle permettait aux commerçants de deviner le sexe ou la tranche d'âge d'un passant et de subodorer son humeur, notée entre 1 et 10. Avec souvent le même taux de réussite qu'un art divinatoire... Mais les récentes avancées de l'intelligence artificielle permettent d'améliorer les algorithmes de détection (lire l'encadré). Et le marché pourrait prendre un nouveau virage. Déjà, les Gafa ont réalisé beaucoup de progrÈs en travaillant sur les photos de leurs abonnés, et recommandant directement à l'utilisateur des personnes à «taguer» sur les photos. Mais pour la reconnaissance directe de l'utilisateur dans la rue, plus aboutie, la loi est un frein. «À ce jour, selon le Code de l'environnement, tout systÈme de mesure d'audience ou d'analyse de comportement doit être soumis à l'autorisation de la Cnil», explique Me Emmanuelle Behr, avocate spécialisée pour le cabinet Redlink.
SANCTIONS RENFORCéES. La reconnaissance faciale exhaustive, c'est-à-dire qui permet d'identifier une personne, ne déroge pas à la rÈgle. Et la reconnaissance du visage étant perçue comme une donnée biométrique, la Cnil n'a jamais donné son accord. Dans une décision rendue le 12 novembre 2015, concernant une société qui souhaitait remplacer ses badges de sécurité - notamment pour pointer - par de la reconnaissance faciale, la commission estime qu'une «donnée biométrique constitue un élément d'identité irrévocable dont la diffusion non maîtrisée, ou accidentelle, peut avoir des conséquences irrémédiables». Elle a ainsi refusé de donner son accord à ladite société, estimant que «le recours à un dispositif de reconnaissance faciale ne peut être admis que dans certaines circonstances particuliÈres où l'exigence d'identification des personnes résulte d'un impératif de sécurité» et non pour ouvrir des portes ou déclarer ses heures.
Cependant, le nouveau rÈglement européen sur la data, en vigueur à l'été 2018, va changer la donne. «L'esprit du RGPD [RÈglement général sur la protection des données] n'attribue plus à la Cnil le rôle d'autorisateur, et le but est de responsabiliser les entreprises. En revanche, la Cnil aura un rôle répressif renforcé», note Emmanuelle Behr. Exit l'autorisation préalable. «Par principe, tout recueil de données biométriques est de fait interdit sauf en quelques cas, notamment celui de l'accord explicite des utilisateurs», ajoute l'avocate. Ne restera donc aux entreprises qu'à obtenir l'aval de leurs clients - et seulement cet aval - pour les dévisager. Bien plus facile mais un brin absurde: cela revient à demander à une personne inconnue l'autorisation de la reconnaître... Enfin, les entreprises devront montrer patte blanche en termes d'analyse du risque préalable. Les sanctions en cas de non-conformité seront bien plus élevées. ?
Comment ça marche ? La reconnaissance faciale commence par les yeux. En fonction de leur alignement, le logiciel peut définir un « cadre » pour le visage et des points de référence. L'une des technologies les plus répandues consiste alors à analyser les différences de couleurs. Découvrant les contours et identifiant certaines parties spécifiques du visage, elle les repÈre dans l'espace, ce qui donne un ensemble de points, une figure géométrique unique.
Il ne reste alors qu'à comparer les autres figures géométriques pour reconnaître un visage dans une base de données.
LE MEDEF SORT UN PLAN MARSHALL DIGITAL PIERRE GATTAZ, PRéSIDENT DU MEDEF (MOUVEMENT DES ENTREPRISES DE FRANCE), a détaillé aux Échos son plan Marshall pour le secteur des objets connectés en France. Il s'agit de surfer sur la transformation de l'économie digitale en cours pour faire de la France un « champion mondial » d'ici à 2025. L'organisation patronale suggÈre de mobiliser tous les acteurs, des entreprises aux fédérations professionnelles en passant par l'état, pour réguler, instaurer des normes, éduquer, etc. Cela passerait par l'accompagnement des TPE et PME dans leur transformation numérique et par le soutien financier des start-up.
Le mot de la semaine FunNel Ce mot (« entonnoir ») en anglais, désigne en marketing le parcours d'achat du client, c'est à dire l'entonnoir de conversion. Par exemple, depuis la découverte du produit sur internet, l'arrivée sur le site de la marque, le dépôt du produit dans le panier et la finalisation du paiement.
en prenant en compte « 50 variables différentes ». Il peut réaliser « 3 millions d'enchÈres par annonce et par annonceur ».
Criteo optimise les campagnes sur Google Shopping LE SPéCIALISTE DU CIBLAGE PUBLICITAIRE inaugure sa solution d'analyse prédictive pour optimiser les campagnes de recherche sur Google Shopping : Criteo Predictive Search. L'outil, basé sur le machine learning, automatise les campagnes de search, Microsoft lance son Slack maison LA FIRME DE REDMOND a conçu Teams, son service de messagerie propriétaire, aprÈs avoir échoué à racheter Slack début 2016. Lancé en version bêta en novembre 2016, Teams a été officiellement lancé le 14 mars. Il est intégré comme une brique d'Office 365. Le groupe Canal va en équiper 6 000 salariés.
DATE-CHARGEMENT: March 16, 2017
LANGUE: FRENCH; FRANÇAIS
GRAPHIQUE: TOUT RECUEIL DE DONNéES biométriques sera interdit, sauf accord explicite de l'utilisateur.© Monty Rakusen/Getty Images
TYPE-PUBLICATION: Journal
CODE-REVUE: SRG
Copyright 2017 Stratégies
tous droits réservés
496 of 500 DOCUMENTS
Le Monde.fr
Mardi 7 Mars 2017
Les assureurs sur la brèche face à l'explosion des cyberattaques
AUTEUR: Véronique Chocron
LONGUEUR: 916 words
Sites Web, matériel informatique, objets connectés et, demain, domotique, voitures autonomes... Tous les systèmes interconnectés sont susceptibles d'être la cible de cyberattaques. Une étude publiée en janvier2016 par le cabinet PwC a chiffré le coût de cette nouvelle criminalité à quelque 400milliards de dollars (378milliards d'euros) au niveau mondial. L'évolution rapide vers une robotisation de masse pourrait même le porter à 2000milliards de dollars dans les cinq ans.
La prise de conscience de ce nouveau risque allant de pair avec le besoin de s'en prémunir, un marché à très fort potentiel est en train de s'ouvrir pour les grandes compagnies d'assurance. «Nous sommes en période de transition. Le cyber-risque est aujourd'hui encore avant-gardiste, mais la progression est quasi exponentielle», souligne Bernard Spitz, le président de la Fédération française de l'assurance, qui met en avant «l'asymétrie très forte entre les marchés américain et européen de la cyberassurance».
Nouvelles règles
Le réassureur français SCOR (anciennement Société commerciale de réassurance) évalue le volume de primes d'assurance «cyber» à quelque 3milliards de dollars en2016, dont 90% ont été réalisées aux Etats-Unis. Il pourrait atteindre 10 milliards de dollars en 2020. L'Europe constitue le deuxième marché, avec un chiffre d'affaires beaucoup plus faible, estimé aujourd'hui entre 150millions et 200millions de dollars.
Mais les nouvelles règles dont s'est dotée l'Union européenne pour mieux s'adapter au numérique devraient changer la donne. Le Règlement général sur la protection des données (RGPD), qui entrera en application le 24mai 2018, va notamment obliger les entreprises à notifier les violations de données à caractère personnel auprès des autorités et, surtout, auprès des utilisateurs. Avec, à la clé, des amendes administratives qui pourront atteindre, selon la catégorie de l'infraction, jusqu'à 4% du chiffre d'affaires annuel mondial de la société.
«Aux Etats-Unis, le marché s'est essentiellement développé grâce à la mise en place progressive, à partir de 2003, d'une réglementation qui a obligé les entreprises à notifier le vol ou la compromission des données personnelles, souligne Didier Parsoire, qui gère le risque cyber chez SCOR. Face au coût des notifications et des pénalités en cas de non-conformité, les entreprises ont voulu s'assurer. Les notifications publiques ont, par ailleurs, donné de la visibilité aux cyberattaques. La vertu de cette réglementation a été de leur faire prendre conscience du risque qui se propageait.»
Des offres étoffées
Ce tremplin réglementaire nourrit les projections optimistes du secteur de l'assurance, qui voit le marché de la cyberassurance quadrupler ou même quintupler en Europe, pour atteindre 1milliard de dollars en2020.
Les compagnies s'y préparent en étoffant leur offre. En France, Generali, qui propose déjà des contrats de cyberassurance destinés aux grandes entreprises, lance, mercredi 8mars, une protection numérique pour les petites et moyennes entreprises. Allianz finalise, de son côté, une garantie cyber-risque, qui sera intégrée de manière optionnelle à une offre globale d'assurance-dommages et commercialisée dans les prochains mois.
«En France, moins de 1% des PME sont aujourd'hui assurées contre les cyber-risques»
Alors que les multinationales sont souvent déjà équipées, notamment dans les secteurs les plus sensibles (banque, santé, grande distribution...), les petites et moyennes entreprises constituent un marché quasi vierge. «En France, moins de 1% des PME sont aujourd'hui assurées contre les cyber-risques. La sensibilité des chefs d'entreprise augmente. Donc nous avons une bonne écoute de leur part, mais encore peu d'actes d'achat», constate Jean-Luc Montané, directeur incendies, accidents et risques divers des entreprises pour Axa France. Lancée fin 2014, la garantie cyber-risque a été souscrite par un peu moins de 300 clients sociétés.
«D'une intensité folle»
Outre une réglementation plus protectrice des données personnelles, c'est la transformation numérique des entreprises qui fera décoller la cyberassurance. La robotisation de l'économie ou la voiture sans pilote devraient réduire le risque provoqué par l'erreur humaine. Dans le même temps, PwC prévoit que «la couverture du risque cyber va devenir l'un des piliers fondamentaux de la plupart des polices» d'assurance.
«La couverture du risque cyber va devenir l'un des piliers fondamentaux de la plupart des polices»
Les assureurs ont tous en tête des scénarios catastrophes, comme le «hacking» d'usines, qui entraîneraient la contamination de produits alimentaires ou le déclenchement d'incendies. «Les risques peuvent être d'une intensité folle. Les dommages corporelssont possibles. Le secteur va devoir y réfléchir dans les prochaines années», prévient Astrid-Marie Pirson, directrice de la souscription chez Hiscox.
Dans cette perspective, « des formes de réassurance plus sophistiquées devraient apparaître sous la condition d'une meilleure compréhension et modélisation du risque. L'objectif est de pouvoir protéger un assureur face à un risque de type "catastrophique"qui toucherait une part importante de son portefeuille de clients », explique Didier Parsoire. Pour François Nédey, le directeur technique assurances de biens et de responsabilités d'Allianz France, «rendre obligatoire la garantie responsabilité civile liée aux cyber-risques permettrait de mutualiser ces risques. Ce pourrait être à terme la bonne réponse.»
DATE-CHARGEMENT: 7 Mars 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Publication internet
Copyright 2017 Le Monde
Tous droits réservés
497 of 500 DOCUMENTS
IT for Business
20 février 2017
La sécurité du cloud en question
AUTEUR: Stéphane Darget
RUBRIQUE: SÉCURITÉ; Pg. 0052, 0053, 0054, 0055, 0056 N° 2214
LONGUEUR: 3492 mots
ENCART: La sécurité du cloud, et des applications SaaS en particulier, n'est pas que le problème du fournisseur de services. Aussi bien d'un point de vue technique que juridique, la société cliente doit analyser ses risques et les limiter tout au long du cycle de vie des données traitées par ces applications.
La question n'est plus de savoir si l'on doit placer ses données dans le cloud : 82 % des entreprises françaises y sont déjà, selon une étude OpinionWay pour le Cesin publiée fin janvier. Dans ces conditions, y a-t-il encore des raisons de ne pas utiliser ces services ? Quelles précautions faut-il prendre ? Qui est responsable en cas de fuite d'informations ? Et pourquoi en 2020, selon Gartner, 95 % des dysfonctionnements liés à la sécurité seront-ils imputables aux clients eux-mêmes ?
La sécurité du cloud est souvent considérée comme un des devoirs du fournisseur du service. En adoptant le cloud, certaines entreprises croient donc se décharger d'un important fardeau. À tort, dans la plupart des cas. Pour illustrer le niveau de responsabilité, il faut distinguer trois modèles. Dans celui du IaaS (Infrastructure as a Service), seule l'infrastructure est fournie : le réseau physique, le stockage, les serveurs, voire l'hyperviseur. Dans le cas du PaaS (Platform as a Service), il faut y ajouter les éventuels réseaux virtuels, le système d'exploitation, les middlewares et les outils d'exécution. Enfin, dans le cas du SaaS, les applications elles-mêmes seront en plus administrées. Quel que soit le modèle, il ne faut pas compter sur le fournisseur pour gérer les éléments qui ne sont pas sous sa responsabilité : ainsi, un provider d'IaaS n'aura pas à s'occuper des mises à jour du système d'exploitation, tout comme celui d'un PaaS ne devra s'occuper des vulnérabilités du programme exécuté. Dans le cas de la plupart des SaaS, et a fortiori pour les deux autres modèles, les données et les utilisations resteront sous la responsabilité du client.
Par exemple, on peut attendre d'un service de partage de type box qu'il soit sécurisé contre le déni de service ou les attaques via des vulnérabilités. En revanche, le contenu des fichiers n'est pas de son ressort : il ne sait pas s'il s'agit d'une liste de fournitures ou d'un document confidentiel, et il ne contrôlera pas l'usage qui en est fait par les utilisateurs autorisés. Dès lors, pour de nombreux types d'attaques très impactantes - telles que l'exfiltration de données, la fraude au président, l'usurpation d'identité -, la sécurité « intrinsèque » au cloud ne change rien aux problématiques. Si les fournisseurs d'IaaS ou de PaaS, tels AWS, Google, IBM ou Microsoft disposent effectivement d'importants moyens pour sécuriser leurs environnements, il s'agit avant tout pour eux de protéger leurs propres infrastructures. Ainsi, certains de ces acteurs sont en train d'enrichir considérablement l'ampleur et la diversité de leurs offres de sécurité pour commercialiser ces services à forte valeur ajoutée.
LA SHADOW IT, UN RISQUE MAJEUR
Selon Craig Lawson, analyste chez Gartner, « l'adoption de la mobilité et du cloud peut réduire le contrôle et la visibilité sur l'exposition au risque. Ainsi, les gestionnaires de la sécurité ne sont pas toujours aussi enthousiastes que le reste de l'entreprise quant à l'adoption de ces nouvelles technologies. L'utilisation par les employés du cloud computing public entraîne deux catégories de menaces : celles liées aux services de cloud approuvés qui sont utilisés de façon inadéquate, et celles liées aux données d'entreprise sensibles qui sont mani-pulées par des applica-cloud tions cloud non approuvées. Dans les deux cas, le comportement des utilisateurs constitue une préoccupation plus grande que les éventuelles vulnérabilités du prestataire de SaaS ».
Pour Alain Bouillé, président du Cesin (Club des experts de la sécurité de l'information et du numérique) et RSSI à la Caisse des dépôts et consignations, la shadow IT, c'est-à-dire l'ensemble des services IT « non approuvés », est clairement un problème. Pour trouver des parades, « il faut bien distinguer les services payants des services gratuits. Dans le cas de la shadow IT payante, cela signifie implicitement que la direction informatique n'est pas perçue comme assez réactive. En améliorant ces aspects, mais également en interagissant plus étroitement avec les services achats, il est possible de juguler ce phénomène : l'objectif n'est pas d'interdire les applications SaaS, mais de les faire entrer dans un process sous la supervision du RSSI ».
Cette analyse est également partagée par Joël Bentolila, directeur technique de Talentsoft, éditeur de solutions SaaS destinées aux DRH. Si l'on se place cinq ans en arrière, « de nombreuses sociétés se tournaient vers ces solutions sans passer par les fourches caudines des directions informatiques. Depuis, les ressources humaines sont devenues stratégiques pour l'entreprise ». Et des règles de gouvernance ont été mises en places : « Les DSI ont repris la main et sont désormais présents dès l'appel d'offres, ce qui marque un changement majeur ».
La shadow IT gratuite est, elle, plus complexe à adresser, étant souvent utilisée par le salarié sans que sa direction en soit informée. Les conditions générales d'utilisation de ces services - que bien entendu personne ne lit - sont souvent incompatibles avec les règles de gouvernance ou les législations applicables à l'entreprise (par exemple, stockage de données en dehors du territoire européen), voire les chartes informatiques. En dehors de mesures de filtrage web, il s'agit déjà de savoir quels sont les sites utilisés par les salariés afin de pouvoir proposer des alternatives fiables et « passer de la shadow IT à la lumière », comme l'exprime Joël Bentolila. Il ne faut pas non plus négliger les formations, les serious games, les mises en situation pour expliquer aux salariés pourquoi ces pratiques sont dangereuses pour l'entreprise.
Le DPO (Data Protection Officer), s'il existe dans l'entreprise, aura la légitimité pour entreprendre ces actions. Et comme le rappelle un autre RSSI, expert membre du Cesin, il ne faut pas négliger l'action de la DRH en cas de manquement : « un courrier provenant de ses services aura souvent bien plus de poids que celui de la DSI ». Il fait également remarquer qu'entre les SaaS passant par les achats et la shadow IT gratuite, il existe des intermédiaires. Ainsi, « pour les projets de courte durée, la tentation est grande pour les métiers d'avancer très rapidement, en maîtrisant notamment le planning de déploiement, et d'utiliser leurs propres budgets. Le mode SaaS, particulièrement agile, est bien adapté à ce type de situations, et souvent n'entraîne - en raison des modes de licences - que des coûts limités. Les liens étroits du RSSI avec l'ensemble des autres départements de l'entreprise feront une fois de plus la différence ».
Question :
Certaines des données de votre entreprise sont-elles stockées dans un cloud ?
Oui, dans des clouds publics 43 %
Oui, dans des clouds hybrides 20 %
Oui, dans des clouds privés uniquement 19 %
Non 18 %
REPRENDRE LE CONTRÔLE, SANS FREINER LE CHANGEMENT
Dans son document 10 recommandations pour maîtriser les risques dans le cloud computing, le Cesin montre combien l'évaluation des incidents est importante et doit être un sujet de préoccupation de la direction générale. Alain Bouillé rappelle les deux premiers conseils : « Estimez la valeur des données que vous comptez externaliser ainsi que leur attractivité en termes de cybercriminalité » et « s'il s'agit de données sensibles, voire stratégiques pour l'entreprise, faites valider par la direction générale le principe de leur externalisation ». À partir de ces premières informations, « effectuez une analyse de risque du projet en tenant compte des risques inhérents au cloud ». Il peut s'agir de la localisation des serveurs, du maintien de la conformité, de l'isolement des informations par rapport aux autres clients, des pertes liées aux incidents fournisseurs, de l'usurpation d'identité. Sans oublier la réversibilité de la solution, la dépendance technologique au distributeur ou la disponibilité du service directement lié à Internet. Inspirées par les normes ISO 2700x, les méthodes Ebios (Expression des besoins et identification des objectifs de sécu-rité, développée en partenariat avec l'Anssi), Mehari (Méthode harmonisée d'analyse de risques, du Clusif ) et Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation, de l'Université Carnegie Mellon) seront d'une aide précieuse pour effectuer cette analyse.
TOUS LES ÉDITEURS NE FONT PAS PREUVE DE LA MÊME TRANSPARENCE
De nombreuses questions trouveront réponse par le biais de l'audit du SaaS. Comme l'explique Joël Bentolila : « Nos clients ont la possibilité d'auditer Ta-lentsoft : les méthodes utilisées par l'entreprise, les règles de développement et de sécurité, nos règles d'hébergement, le système de management de la sécurité. Nous documentons l'intégralité de nos bonnes pratiques et sommes en cours de certification ISO 27001. Cela se traduit généralement par des visites de nos sites, de la rencontre avec les équipes et les responsables de la sécurité, voire par l'audit des datacenters ou la réalisation de tests d'intrusion (pentests) à l'initiative du client. La maturité du client sur les questions de cybersécurité, et l'existence d'une politique de sécurité pour l'entreprise, influencent grandement les demandes ».
Néanmoins, tous les éditeurs ne font pas preuve de la même transparence. Sur de nombreux clouds publics, les audits et plus particulièrement les tests d'intrusions sont interdits ou s'appliquent à des périmètres si limités qu'ils en perdent quasiment tout intérêt. Il reste la possibilité de transmettre des questionnaires spécifiques aux fournisseurs (voir encadré), de voir si ces solutions acceptent le défi des bug bounties (voir IT for Business nº 2211, page 62) et de contrôler leurs certifications.
De la même manière, chaque éditeur décide de ses propres règles de conformité. En dehors de quelques cas très spécifiques, il ne faut donc pas espérer qu'un prestataire rentre dans une démarche de normalisation suite à la demande d'un prospect potentiel. C'est donc à l'entreprise cliente de s'imposer ses niveaux de conformité lors du choix. Du côté des normes internationales, il s'agit de l'ISO 27001, complétée par les normes 27002 et 27018 (pour l'aspect données personnelles, pouvant être enrichie par l'ISO 29100).
GARANCE MATHIAS AVOCATE SPÉCIALISÉE EN DROIT DES AFFAIRES ET DES TECHNOLOGIES AVANCÉES
Quels sont les changements juridiques en cours ? La règlementation européenne RGPD, les directives européennes sur la sécurité des réseaux et des systèmes d'information dans l'Union (NIS) et la directive sur le secret des affaires vont entrer en vigueur début 2018, mais ces deux dernières doivent être transposées en droit français. La loi pour une république numérique anticipe déjà certains aspects du RGPD.
Peut-on vraiment négocier un contrat ? Peu médiatisée, l'ordonnance pour la réforme du droit des contrats, entrée en vigueur au 1er octobre dernier, est une révolution dans notre droit. Elle étend la protection contre les clauses abusives, jusque-là prévues uniquement en faveur du consommateur particulier, à l'ensemble des contrats d'adhésion.
Ainsi, un tribunal français pourra considérer qu'une clause imposant l'usage d'une juridiction étrangère est abusive.
Plus globalement, ces nouvelles dispositions du Code civil aident à négocier son contrat.
Quels sont les points particulièrement critiques ?
Il est indispensable de savoir ce que contient le contrat et de l'analyser en termes de risque pour l'entreprise. Les clauses de sécurité, d'audit, de données à caractères personnelles, de confidentialité ou de sous-traitance sont très importantes. En particulier, la clause d'audit doit prévoir quelles sont les mesures, aussi bien techniques que financières, à appliquer en cas de manquement, ainsi que, pour les cas les plus graves, les modalités de sortie du contrat.
La norme ISO 27017, dédiée à la sécurité du cloud, est désormais réintégrée à la norme ISO 27001. Il n'existe à ce jour par de norme européenne spécifique.
Quelques labels proposés par des structures non gouvernementales, telles que Label Cloud (de France IT) ou Cloud Confidence (de l'association française éponyme), peuvent être des gages d'une démarche de qualité. L'Anssi souhaite aller plus loin : son référentiel de sécurité pour les offres de cloud computing, qui s'imposera certainement aux entreprises publiques et aux opérateurs d'importance vitale (OIV) français, est sur les rails. Ainsi, le référentiel SecNumCloud « niveau essentiel » a été publié en décembre dernier dans sa version 3.0. Il sera prochainement complété par le « niveau avancé » pour les cas les plus exigeants. À ce jour, dans le domaine des éditeurs SaaS, seul Oodrive est en cours de certification avancée (offres iExtranet, PostFiles, BoardNox), Orange étant en cours de certification au niveau essentiel pour son service de stockage. En voulant suivre SecNumCloud, le risque est donc de se retrouver devant une offre cloud extrêmement restreinte, limitée à des prestataires hexagonaux.
Rappelons qu'il est en particulier nécessaire que le contrat soit de droit français (tribunal compétent en France), que les données soient localisées exclusivement en Europe, tout comme le support de premier niveau francophone. Guillaume Poupard, directeur général de l'Anssi, se veut rassurant : « Ce point n'est pas jugé particulièrement problématique par les prestataires non européens, car ils sont assez naturellement amenés à disposer de datacenters en Europe pour des questions de performance ».
IL N'EXISTE À CE JOUR PAS DE NORME EUROPÉENNE SPÉCIFIQUE
Comme l'encourage Maître Garance Mathias, « il faut systématiquement négocier un contrat ». Une indication de Service Level Agreement (SLA) n'est absolument pas suffisante (voir encadré). Et quand bien même elle existe, elle peut être dérisoire. Ainsi, dans le pire des cas, pour ses offres cloud, OVH ne remboursera que le montant de l'abonnement payé le mois en cours... Et les SLA chez Amazon AWS peuvent être encore plus défavorables ! On peut donc s'interroger sur les possibilités de négociation avec les Microsoft, Google, AWS et autres géants, y compris lorsqu'on est soi-même une entreprise de dimension internationale. Afin d'éviter ces pièges, « il est indispensable que les contrats soient relus par un professionnel du droit des systèmes d'information », ajoute Garance Mathias.
Les règlementations européennes et françaises sont en train de durcir considérablement les obligations des fournisseurs de cloud, mais aussi celles des entreprises clientes. Le RGPD (Règlement général sur la protection des données) instaure une responsabilité partagée entre le responsable du traitement et le sous-traitant (voir notre dossier sur la gouvernance des données, page 62). L'une de ses disposi-tions impose notamment à l'entreprise de signaler les éventuelles fuites de données aux autorités compétentes : encore faut-il être capable de les détecter, à défaut d'avoir pu s'en prémunir.
Pour cela, Gartner préconise l'usage d'un CASB (Cloud Access Security Broker), qui cumule quatre fonctions : visibilité sur l'usage des services ; conformité de ceux-ci avec les législations ; contrôle des données ; et protec-tion contre les attaques. Le contrôle des données permet de restreindre l'accès aux éléments sensibles par la mise en place de politiques de sécurité renforcées (voir IT for Business nº 2212, page 54). Pour obtenir un niveau de granularité satisfaisant, le CASB doit connaître les utilisateurs du service et donc être connecté au serveur d'authentification de l'entreprise. Il va ensuite interroger les applications SaaS via des API spécifiques. Et là encore, d'un produit à l'autre, les différences d'intégration et les facilités de mises en oeuvre sont nombreuses. Sans oublier que quantité d'applications SaaS ne disposent pas encore d'API ou que celles-ci n'ont pas été prises en charge par les éditeurs de CASB - aucun standard n'existe encore pour l'instant. Ainsi, comme l'indique Joël Bentolila, TalentSoft n'a pour l'instant été contacté que par un seul fournisseur de broker, ce qui au final n'a pas abouti.
UN EXPERT AU CESIN RSSI D'UN GRAND GROUPE INDUSTRIEL
Quel est le premier usage d'un CASB ?
Placé entre l'entreprise et Internet, le CASB permet d'abord de connaître le niveau d'exposition engendré par des applications non maîtrisées par la DSI. Si les connexions internet sont décentralisées par zones géographiques, il faudra implémenter un CASB par région, ce qui alourdira le budget.
Tous les CASB sont-ils équivalents ?
Un CASB utilise les logs des proxys web, mais peut également utiliser directement les API des applications SaaS concernées. Au sein de mon entreprise, nous avons testé quatre solutions. Si toutes utilisent la même architecture, on constate, d'un produit à l'autre, des différences d'interprétation significatives, bien qu'ils exploitent par exemple les mêmes logs. La granularité peut être très différente, et certaines options plus ou moins simples à mettre en place. Sachant que Microsoft a racheté le CASB de la société Adalom, on peut demander si l'éditeur ne réservera pas l'exploitation de son API d'Office 365 à ses propres solutions.
La solution est-elle coûteuse ?
Le budget nécessaire est très important pour un groupe de dimension internationale car les modèles de licence sont systématiquement édités par utilisateur.
S'il s'agit simplement de déterminer les services utilisés, une analyse poussée des logs des proxys peut suffire.
De même, la mise en oeuvre de SSO (Single Sign-On) pour authentifier les utilisateurs des SaaS peut être encouragée grâce à un CASB, mais peut également se faire sans.
Alain Bouillé s'interroge plutôt sur la pérennité des actuelles solutions : « Tous les grands éditeurs sont à l'affût de ces CASB. Compte tenu des importantes dynamiques de rachat dans le secteur, que se passera-t-il si la solution choisie est acquise par un tiers, puis intégrée à une offre plus complexe ou plus coûteuse ? »
Les CASB deviendront probablement indispensables avec l'augmentation de la proportion d'appli-cations dans le cloud (versus celles hébergées par les entreprises sur un cloud privé). En attendant cette situation, il est possible d'exploiter les fonctions de conformité ou de contrôle de données intégrés par de plus en plus d'applications SaaS. Joël Bentolila recommande à cet égard d'utiliser le serveur d'authentification (IAM, pour Identity Access Management) interne de l'entreprise pour que celui-ci puisse contrôler facilement les accès au sein de l'application SaaS : « Pour lutter contre l'usurpation d'identité, augmenter la sécurité des accès et faciliter l'authentification, il est vivement recommandé d'unifier les droits d'accès. Pour la mise en oeuvre de solutions réellement efficaces, c'est à l'entreprise cliente et non aux fournisseurs de se préoccuper de ces aspects ».
De son côté, Charlotte Petyt, responsable produits chez Scalair (opérateur et architecte de cloud français), fait remarquer que l'on a tendance, à tort, à sous-estimer les problématiques de réversibilité : « Que se passe-t-il si le service choisi n'est plus en mesure de fonctionner correctement suite à une attaque par exemple, s'il cesse purement et simplement d'exister, ou si, simplement, on décide de rompre le contrat ? ». Pour répondre à ces questions, il faut définir un plan de reprise dès les prémices de l'externalisation, et prévoir la sauvegarde des données en dehors du périmètre du prestataire. Pour certaines implémentations IaaS ou PaaS, il faudra envisager la réplication d'un cloud vers un autre. La migration d'une application SaaS vers une concurrente risque en revanche de ne pas être une tâche facile. Ces questions doivent donc être envisagées avant la signature du contrat.
Pour que le cloud soit un environnement sûr pour l'entreprise, il est au final indispensable, comme dans beaucoup de cas, que la direction générale soit largement impliquée dans le projet et, au minimum, que l'ensemble des directions (DSI, RSSI, juridique, métiers) soient soudées autour de ces questions. ·
IDENTIFIER LES CARENCES MAJEURES D'UN PRESTATAIRE
Gartner a établi une check-list de questions techniques à poser aux prestataires avant toute contractualisation : ` · Puis-je voir où se trouvent mes données ?
· Ai-je une visibilité sur qui partage les données ? · Ces données contiennent-elles des informations sensibles ou personnelles identifiables ?
· Puis-je crypter les données (de manière interne ou externe) ?
· Puis-je savoir d'où les utilisateurs se connectent ? · Puis-je authentifier moi-même les utilisateurs ?
· Puis-je définir des politiques de restriction d'accès ? · Puis-je bloquer un acteur malveillant ayant usurpé une identité ?
· Ai-je une visibilité sur les flux de données entre les services cloud ?
· En cas de réponse par la négative, il faudra voir si des stratégies de contournement peuvent être mises en place, si cette incapacité peut être acceptable en regard de l'analyse de risques, ou souscrire une police d'assurance ad hoc.
DATE-CHARGEMENT: February 19, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
498 of 500 DOCUMENTS
IT for Business
20 février 2017
Gouvernance et sécurité, même combat
RUBRIQUE: Pg. 0074, 0075 N° 2214
LONGUEUR: 1542 mots
ENCART: Il n'y a pas de gouvernance de la donnée sans prise en compte des problèmes de sécurité. Et il n'y a pas de sécurité des données sans une vraie gouvernance. Cette dernière s'avère capitale à l'heure où le RGPD contraint l'entreprise à respecter les données personnelles qui lui sont confiées.
Trop longtemps l'IT s'est focalisée sur la seule sécurisation du réseau et de son infrastructure plutôt que de ses données. Pour une raison finalement assez évidente : la protection du réseau et de l'infrastructure dépend directement des compétences techniques de la DSI, tandis que la protection des données relève, elle, d'une gouvernance globale impliquant une collaboration entre IT, métiers et ressources humaines. « Aujourd'hui, avec l'arrivée du RGPD, cette gouvernance doit apporter autant d'attention à la conformité des données qu'à leur confidentialité et à leur sécurité », explique Sébastien Verger, CTO de Dell EMC.
Une nécessaire prise de conscience
Pour se conformer aux règles de sécurité du RGPD, les entreprises vont en effet devoir renforcer le chiffrement de leurs données ainsi que les droits d'accès tout en mettant en place des règles d'effacement et d'anonymisation. De plus, la nouvelle réglementation européenne prévoit une gouvernance étendue à tout le cycle de la donnée : collecte (article 5 qui demande transparence et approbation), traitement (article 6 limitant la licéité du traitement), gestion (article 33 sur les notifications et article 35 sur la protection des données) et stockage (article 32 sur le chiffrement et la « pseudonymisation »). Enfin, comme le rappelle Astrid Marie Pirson, responsable technologies, médias, télécoms et cybercriminalité chez Hiscox, groupe international d'assurance, cette gouvernance est d'autant plus critique que « l'article 33 du RGPD prévoit que lorsque les données sont compromises, l'entreprise a l'obligation de déclarer la fuite auprès de la Cnil. Si les données sont insuffisamment protégées et sont potentiellement exploitables par le pirate, l'entreprise est tenue de déclarer la fuite aux personnes concernées (article 34) ». En d'autres termes, les entreprises ne pourront plus cacher les fuites.
Dès lors, et compte tenu des enjeux financiers en termes de sanctions encourues, on peut s'étonner du manque de sensibilisation des entreprises aux principes de sécurité du RGPD. Une enquête réalisée en 2016 par le cabinet Vanson Bourne, mandaté par Veritas Technologies, montre que 54 % des 2 500 décideurs IT interrogés ne sont toujours pas prêts ! Pire, une étude réalisée par Symantec auprès de 900 entreprises françaises montre que 22 % d'entre elles estiment qu'elles ne seront pas prêtes en mai 2018, date limite pour se conformer à la réglementation. Toujours selon Symantec, ce constat est d'autant plus inquiétant que les Français accordent de plus en plus d'importance à la sécurité de leurs données : 88 % d'entre eux affirment qu'elle est déterminante dans le choix d'une entreprise, avant même la qualité des produits ou du service client.
Adopter les bonnes pratiques
La mise en place d'une gouvernance de la sécurité des données repose sur quatre principes : honorer les politiques et engagements de l'entreprise tout au long du cycle de vie des informations (en respectant les consentements de l'utilisateur et sa capacité à voir et corriger les données personnelles), minimiser les risques d'accès non autorisés, minimiser l'impact d'un éventuel vol des données, documenter des contrôles tout en démontrant leur efficacité.
Comme en conformité, tout commence par la cartographie. Celle-ci permettra d'identifier le risque d'exposition et de perte des informations, de procéder à une classification des données - toutes les données n'ayant pas la même criticité - et de se poser les bonnes questions quant à la confidentialité des informations. Au passage, cette première étape permettra aussi de réaliser les études d'impact sur la vie privée (EIVP), imposées par le RGPD. « Pour chaque donnée, il faut une EIPV documentée analysant l'impact pour le client, de sorte qu'en cas de brèche, l'entreprise puisse avertir l'autorité de contrôle - la Cnil - et fournir l'EIPV pour justifier des conséquences de cette fuite », rappelle Laurent Heslault, Security Strategist chez Symantec.
LAURENT HESLAULT SECURITY STRATEGIST CHEZ SYMANTEC
UN DPO EST INDISPENSABLE e Data Protection Officer va devenir un rôle important dans l'entreprise, particulièrement pour celles qui font du B-to-C. Imposé par le RGPD, il est responsable de la mise en conformité et de son maintien dans le temps. C'est lui qui doit dicter les bonnes pratiques et c'est l'interlo-L
cuteur prioritaire de la Cnil en cas d'audit... L'article 37 précise que plusieurs entreprises peuvent avoir le même DPO. On va probablement assister à un fonctionnement qui n'est pas sans rappeler celui de l'expert-comptable. Notamment dans les TPE et PME qui n'ont ni les compétences ni les ressources. On va vers une forme de « GDPR as a Service » avec des services qui fourniront les DPO.
C'est également à partir de cette cartographie globale de ses données que l'entreprise pourra identifier les différents moyens à mettre en oeuvre pour les protéger : chiffrement pour la donnée stockée ou en mouvement, ou encore masquage pour la donnée exposée et visualisée. À noter que IBM DB2 et MS SQL Server embarquent des capacités de masquage automatique selon les utilisateurs. Oracle Ad-vanced Security préfère transformer les informations à la volée au moment de les présenter aux utilisateurs. D'autres solutions comme IBM InfoSphere Guardium, Delphix ou Ghostery assurent du masquage quelles que soient les sources d'information. Afin de protéger la vie privée de ses clients, l'entreprise peut aussi avoir recours à l'anonymisation, au travers de différents principes comme la pseudonymisation, la tokenisation (au travers de ser-vices comme Perspecsys) ou d'autres techniques popularisées par des outils tels que, par exemple, le logiciel open source ARX.
Les outils ne suffisent pas
En soi, ces technologies - chiffrement, masquage, anonymisation - n'ont rien de nouveau et certaines entreprises n'ont pas attendu le RGPD pour protéger les données de leurs clients, comme le souligne Anthony Pierson, IT Architecture leader chez Kiabi, société qui vient de nommer son DPO pour se conformer aux spécifications du RGPD : « Nous n'avons pas attendu la réglementation pour gérer le cycle de vie de nos données ou les protéger. Nous avons notamment adopté le protocole OAUTH 2 dans tous nos échanges, nous chiffrons, et nous appliquons bien entendu des technologies de masquage, particulièrement sur nos données clients ».
Reste que l'anonymisation des données, fortement préconisée par la nouvelle règlementation européenne, est complexe à mettre en place car elle suppose une réflexion étendue au niveau du comité de gouvernance, afin d'éviter les risques d'identification indirecte. « Une entreprise de parking dispose d'un fichier des plaques d'immatriculation des véhicules photographiées à l'entrée. S'il est dérobé, les données peuvent être rapprochées du fichier des immatriculations et donc permettre l'identification des personnes », explique Laurent Heslault. Et d'ajouter : « au final, le RGPD fixe un cadre légal, strict et contraignant à ce qui devrait être un comportement inné des entreprises : la protection d'informations qui ne leur appartiennent pas ! ». En attendant, pour certaines entreprises, l'effort imposé par le RGPD va être colossal. Effort sur lequel elles pourront capitaliser par la suite pour étendre la sécurité à d'autres données sensibles. Et c'est tant mieux, car derrière le RGPD, d'autres règlementations similaires, autour des données de santé notamment, se profilent... ·
DES SANCTIONS EXPLOSIVES
«© P our nombre d'entreprises françaises, le RGPD ne change pas grand-chose à l'exception du droit à l'oubli. Ce qui change vraiment, c'est l'amende », note Amelie de Braux, directrice juridique chez CA Technologies. Le montant des sanctions pourra en effet s'élever à 20 millions d'euros ou 4 % du chiffre
d'affaires annuel mondial, le montant le plus élevé étant retenu. La facture pourrait même être encore plus salée selon Astrid Marie Pirson, responsable technologies, médias, télécoms et cybercriminalité chez Hiscox : « Quand on met bout à bout l'obligation de notification en cas de fuite, ce qui va se
traduire par un impact négatif sur l'image de l'entreprise, et des clients informés qui peuvent désormais intenter des actions collectives avec la loi de modernisation de la justice, la non-conformité risque de coûter très cher. Les amendes vont exploser, et les primes d'assurance par la même occasion ! »
CÉDRIC HUBERT DIRECTEUR COMMERCIAL D'ABBY FRANCE
L'INTELLIGENCE ARTIFICIELLE POUR DÉNONCER LES FRAUDES
a protection des informations inclut bien évidemment la sécu-Lrité des données non structurées contenues dans des documents, domaine désormais investi par les technologies d'intelligence artificielle notamment pour détecter les fraudes. On a vu récemment des terroristes acheter des armes en obtenant des prêts bancaires grâce à des documents fal-
sifiés. Pour les banques, il est devenu indispensable de faire de la détection de documents falsifiés. On utilise différentes technologies qui nous permettent de faire du contrôle automatique de cohérence entre les documents, de relever les ambiguïtés, de détecter la moindre variation dans les polices de caractères, et de repérer instantanément les éléments des contrats modifiés par les clients.
DATE-CHARGEMENT: February 19, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
499 of 500 DOCUMENTS
IT for Business
20 février 2017
Pas de conformité réglementaire sans gouvernance de la donnée
RUBRIQUE: Pg. 0072, 0073 N° 2214
LONGUEUR: 1547 mots
ENCART: L'avènement de la nouvelle réglementation européenne sur la protection des données personnelles impose à toutes les entreprises un contrôle strict des gisements de données et des processus associés.
Entré en vigueur le 25 mai 2016, le nouveau Règlement général sur la protection des données (RGPD) s'applique à tous les organismes collectant, gérant ou stockant de la donnée. Autrement dit, tout le monde est concerné. Bonne nouvelle, les entreprises ont jusqu'en mai 2018 pour rendre conforme leur système d'information.
Mais au regard du chantier à réaliser, impliquant forcément une gouver-nance des données pointue, ces 15 mois ne seront pas de trop !
Maîtriser tous les flux
Pour certains secteurs, gérer la conformité réglementaire n'est pas un exercice nouveau. Les banques, notamment, sont d'autant plus familières du sujet qu'elles doivent prendre en compte de nombreuses réglementations, comme le souligne Emmanuel Pichon, architecte d'entreprise chez BNP Paribas Wealth Management : « Nous sommes tenus de prouver que nous ne faisons pas prendre de risque au client, mais aussi d'étendre notre connaissance sur le client dans le cadre de la réglementation KYC (ndlr : Know Your Customer). Nous avons aussi un rôle de contrôle impliquant de confronter cette connaissance à des bases pour vérifier, par exemple, que le client n'effectue pas d'opérations illégales dans des pays sous embargo. Nous devons également vérifier les informations qu'il fournit, sous forme structurée ou non, etc. De fait, nos obligations réglementaires supposent qu'on passe tous les flux de données au crible afin de détecter la moindre anomalie ».
Avec le RGPD, toutes les entreprises, quels que soient le secteur et la taille, vont être confrontées à cette maîtrise des flux, ce qui suppose en amont un travail important de cartographie des données et des process. « Une informatique centrée sur le client peut simplifier considérablement la gestion du droit à l'oubli, par exemple, précise Pascal Anthoine, directeur Practice Data Governance chez Micropole. Un clic et il est supprimé. Mais cela ne reste vrai que pour certaines entreprises, car tout dépend du point d'acquisition des données. Gérer la conformité implique donc de cartographier le patrimoine de données existant, mais aussi le fonctionnement de l'entreprise et les flux de données afin d'identifier l'endroit où la donnée est produite, qui est autorisé à la modifier, etc. »
Maîtriser la donnée dans le temps
Gérer la conformité, c'est aussi prendre en compte le cycle de vie de la donnée. Au-delà du droit à l'oubli instauré par le RGPD, la législation française stipule qu'une fois l'objectif poursuivi par la collecte des données est atteint, il n'y a plus lieu de conserver les données : elles doivent être supprimées. Cette durée varie selon les objectifs et doit tenir compte des éventuelles obligations légales à conserver certaines données. Gageons que certains secteurs comme la banque où il faut à la fois accroître la connaissance client et être capable de l'oublier, la gestion de la conformité va nécessiter beaucoup d'imagination... ou de jurisprudences. En attendant, les entreprises doivent s'armer pour supprimer les données en temps et en heure. La nouvelle génération d'outils de gouvernance des données est particulièrement adaptée à cette problématique, comme le souligne Yvan Zermatten, responsable du programme de gouvernance des données du Groupe Mutuel : « Avec la plateforme GDE et sa méthode à base de règles et d'agents permettant de surveiller les transactions et les données, nous gérons la durée de vie des informations de façon complètement automatisée, mais également certains risques. Nous sommes, par exemple, capables de détecter des anomalies dans les transactions indiquant qu'un client triche ». Sauf qu'avec des systèmes d'information qui reposent encore beaucoup sur les mainframes, l'automatisation risque de tourner court. « Je doute que les nouvelles plateformes aient prévu des agents de surveillance pour les applications mainframe, prévient Stéphane Baranzelli, Managing Director EMEA d'Experian Marketing Services. De manière générale, il va plutôt falloir s'appuyer sur des équipes avec des procédures et des routines, le tout centralisé pour conserver la maîtrise de ses données. En d'autres termes, la gestion du cycle de vie de la donnée va rester très artisanale ».
FABRICE LORVO AVOCAT ASSOCIÉ DU CABINET FTPA
Que va changer le RGPD pour les entreprises ? Tout et rien. Le RGPD est maintenant affirmé dans un règlement applicable dans l'Union européenne. Cet outil sera très utile dans le conflit entre le droit européen applicable aux internautes de l'UE et le droit américain revendiqué par les GAFA. Ce conflit résulte de la disparition des frontières provoquée par Internet et de la différence
de protection accordée par les droits respectifs. Aux États-Unis, le concept de donnée personnelle n'est pas reconnu. C'est une marchandise. Dans cette perspective, le RGPD s'adresse surtout aux GAFA. Quelles sont les options des GAFA ? Se conformer au RGPD. Je n'en vois pas d'autres. Ce qui suppose probablement pour eux deux systèmes de gestion de leurs données : un pour l'Europe et un pour le reste du monde. Comment les entreprises vont-elles pouvoir concilier des obligations contradictoires,
telles que le droit à l'oubli et l'obligation de conservation ? Le droit à l'oubli signifie qu'on ne peut pas vous opposer certaines données. Ce droit n'est ni général, ni absolu. Il n'est donc pas antinomique avec le principe de conservation par des entreprises qui peuvent être tenues de justifier qu'à un moment, elles ont été en relations d'affaires avec l'internaute et qu'elles ont bien vérifié certaines données. Elles ne pourront pas pour autant les utiliser à des fins personnelles. Bien entendu, cela ouvre la voie à quantité d'appréciations. Gageons que spécialiste de la compliance est un métier d'avenir !
Enfin, la gouvernance des données soulève toujours des problèmes humains. La gestion de la conformité ne fait pas exception. Comme le souligne une enquête réalisée par le cabinet Vanson Bourne, une certaine confusion règne quant à la personne qui devrait être en charge de cette conformité dans l'entreprise : dans l'ordre, pour 32 % des répondants, il s'agit du CIO (Chief Information Officer) ; pour 21 %, du CISO (Chief Information Security Offi-cer) ; pour 14 %, du CEO (Chief Executive Officer) ; pour 10 %, du CDO (Chief Data Officer). Quelle que soit la politique retenue, elle devra prendre en compte tous les dépositaires de la donnée car, selon Astrid Marie Pirson, responsable technologies, médias, télécoms et cybercriminalité chez Hiscox, « on sait que les maillons faibles de la conformité sont les collaborateurs qui collectent la donnée. Il faut instaurer des bonnes pratiques et obliger les collaborateurs à les appliquer ». Dans cette perspective, les développeurs doivent eux aussi être sensibilisés. « Trop d'entreprises utilisent encore des jeux de données réelles pendant les phases de test d'applications... Pire, elles confient des données de production aux ESN ou start-up qui réalisent leurs développements. Ce faisant, elles ne respectent pas les réglementations en vigueur », explique Alexis Gaches, architecte DevOps chez CA Technologies, éditeur dont la solution Test Data Management crée des jeux de données « synthétiques » à partir de données existantes.
Au final, dans une société numérique qui place la donnée au coeur des systèmes d'information, le respect de la conformité devient l'affaire de tous... ·
LES 10 GRANDS PRINCIPES DU RGPD
Applicable à toutes les 1entreprises, y compris les organisations hors Union européenne, mais qui font des affaires avec l'UE ou utilisent des données personnelles de ressortissants de l'UE. Élargissement du concept 2de données personnelles, à de nouveaux éléments comme l'identité génétique, psychique, économique, culturelle ou sociale. Conditions de 3consentement renforcées, notamment pour les mineurs, avec obligation d'être en mesure d'apporter à tout moment la preuve du consentement en question. Nomination obligatoire 4d'un directeur de la protection des données (ou DPO pour Data Protection Officer) dans toutes les entreprises ayant pour
activité principale le traitement des données. Réaffirmation du 5principe de minimisation des données selon lequel les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Le droit à l'oubli, 6pouvant être exercé par chaque individu selon des lignes directrices et des circonstances clairement établies. Obligation de signaler 7toute violation de données, dans les 72 heures suivant la constatation, à l'autorité européenne et aux personnes concernées. Quelques dérogations existent, par exemple lorsque le risque est considéré
comme faible pour les droits et libertés des personnes concernées par la fuite. Le droit à la portabilité 8 des données permettant à une personne de demander une copie de ses données personnelles dans un format utilisable et par voie électronique transmissible à un autre système de traitement. 9 Responsabilités juridiques directes, les entreprises pouvant désormais être tenues pour responsables des violations de données. 10 Respect dès la conception d'un produit ou d'un service, le respect de la vie privée devant être pris en compte dès l'origine de la création du concept de produit ou de service.
DATE-CHARGEMENT: February 19, 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Magazine
CODE-REVUE: ITBU
Copyright 2017 NEWSCO
Tous droits réservés
500 of 500 DOCUMENTS
Les Echos Business
lundi 20 février 2017
Données personnelles : le plan de bataille de Lagardère
AUTEUR: VINCENT BOUQUET
RUBRIQUE: ARTICLE; Un fort impact sur l'entreprise; Pg. 5 N°. 22387
LONGUEUR: 710 mots
ENCART: Avec le règlement européen sur la protection des données en ligne de mire, le directeur juridique du groupe, Eric Thomas, a déployé une organisation musclée. Objectif : être en phase avec les nouvelles règles applicables d'ici à mai 2018.
Lagardère a décidé d'être proactif. Alors que le règlement général sur la protection des données européen (RGPD) ne sera applicable qu'à compter du 25 mai 2018, le groupe dirigé par Arnaud Lagardère s'est d'ores et déjà mis en ordre de marche pour être fin prêt le jour J. « Cette nouvelle législation nécessite un travail de fond assez conséquent, souligne son directeur juridique, Eric Thomas. Or, plus ce travail se fait en amont, plus nos chances d'être au rendez-vous sont importantes. »
S'appuyant sur une organisation décentralisée au niveau de ses quatre branches - Publishing, Travel Retail, Active, Sport & Entertainment -, la société mère remplit un rôle de coordinateur pour assurer une gestion conforme des données personnelles. « Cette organisation nous permet de garantir une homogénéité du système, de coordonner et de mesurer l'avancement global de son déploiement en liaison avec les différentes branches, précise le directeur juridique. C'est d'autant plus cohérent que la sanction prévue en cas de défaillance est calculée sur la base d'un chiffre d'affaires consolidé. Une gestion en silos serait donc, dans les faits, contraire à l'esprit même du règlement. » Autres avantages pour Lagardère, et non des moindres : la mutualisation des problématiques et des solutions qui enrichit la gestion des données personnelles de chaque branche, mais aussi les économies d'échelle potentielles que cette coordination pourrait générer.
Un fort impact sur l'entreprise
Dès le mois de juillet dernier, les acteurs du groupe particulièrement exposés à la question des données personnelles ont pu être sensibilisés aux nouvelles règles applicables. « Nous avons ensuite organisé des réunions au cours desquelles les mesures d'application à prendre d'ici à mai 2018, selon un calendrier précis, ont été prévues, explique Eric Thomas. Parallèlement, nous avons mis sur pied une équipe transverse dédiée à ce projet. »
Une organisation nécessaire pour répondre aux défis majeurs induits par le RGDP. Comme dans d'autres domaines, les mesures de conformité prévues auront un fort impact sur l'entreprise : extension du rôle de certaines fonctions - audit interne, direction juridique compliance, contrôle interne -, nouvelles lignes de reporting à édicter, système d'alerte interne automatique à construire, personnel spécifique aux compétences naissantes à identifier, etc. « Pour être en totale conformité, une partie de la gouvernance doit être adaptée, assure le directeur juridique. Il ne s'agit pas d'ajustements à la marge mais bien de faire en sorte que l'entreprise mette en place les solutions techniques nécessaires et puisse détecter les failles, les rapporter, coopérer avec les autorités compétentes et produire les outils pour corriger les erreurs. »
Identifier le data protection officer
Pour baliser ce terrain de jeu, l'équipe projet est chargée, dans un premier temps, avec l'aide des responsables de traitement, de recenser les opérations qui supposent une collecte ou un transfert de données personnelles. « Une fois identifiées, les mesures propres à assurer leur conformité avec le RGDP pourront être déployées selon les modalités envisagées », révèle Eric Thomas. « Un programme spécifique de conformité est, en outre, en cours d'élaboration, ayant vocation à être mis en oeuvre dans tout le groupe. »
Obligation complémentaire : identifier les data protection officers. Ces DPO, dont la fonction est imposée par le RGDP, sont les gardiens des données personnelles. « Ils devront à la fois être familiers des questions juridiques posées par la mise en oeuvre de cette nouvelle législation, mais aussi suffisamment alertes par rapport aux questions techniques pour discuter efficacement avec les informaticiens », prévient le directeur juridique. Au sein de la société mère, le titulaire de cette fonction, rattachée à la gérance, a déjà été identifié. Venu du contrôle interne, la tâche qui lui incombera sera significativement plus importante et étendue que celle du correspondant informatique et libertés d'antan.
À noter
Paris II Panthéon-Assas a créé un diplôme de data protection officer sous la responsabilité de Bénédicte Fauvarque-Cosson, professeur de droit privé à Paris II, et de Winston Maxwell, avocat associé chez Hogan Lovells.
DATE-CHARGEMENT: 21 février 2017
LANGUE: FRENCH; FRANÇAIS
TYPE-PUBLICATION: Journal
Copyright 2017 Groupe Les Echos
tous droits réservés